1. Общие положения
1.1. Индивидуальный предприниматель Мандрик Светлана Владиславна (ОГРНИП 320784700160124, ИНН 73204468210) (далее — «Предприниматель») в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных с использованием информационных систем персональных данных, включая интернет-сайт: https://mandrik-s.ru.
1.2. Настоящая Политика конфиденциальности и обеспечения безопасности персональных данных размещается во всех местах сбора персональных данных Предпринимателем и рекомендована к ознакомлению субъектам персональных данных.
1.3. При организации и осуществлении обработки персональных данных Предприниматель руководствуется требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федерального закона от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и принятыми в соответствии с ними иными нормативными правовыми актами.
1.4. Под персональными данными понимаются любая информация, предоставленная через интернет-сайты Предпринимателя и (или) собранная с использованием таких интернет-сайтов, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2. Термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Пользователь - физическое лицо, посещающее сайт Предпринимателя, а также прошедшее регистрацию на сайте.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Сайт - сайт в сети Интернет, владельцем которого является Предприниматель, доступ к которому осуществляется по адресу https://mandrik-s.ru.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Сбор персональных данных
3.1. Сбор информации о персональных данных через интернет-сайт осуществляется следующим образом:
3.1.1. Предоставление данных непосредственно самим пользователем путем ввода в поле данных на интернет-сайте или иным лицом по поручению пользователя;
3.1.2. Сбор IP адресов пользователей и файлов cookies.
3.1.3. Пассивный сбор персональных данных о текущем подключении в части статистических сведений:
идентификатор пользователя, присваиваемый Сайтом;
посещенные страницы;
количество посещений страниц;
информация о перемещении по страницам сайта;
длительность пользовательской сессии;
точки входа (сторонние сайты, с которых пользователь по ссылке переходит на Сайт);
точки выхода (ссылки на Сайте, по которым пользователь переходит на сторонние сайты);
страна пользователя;
регион пользователя;
часовой пояс, установленный на устройстве пользователя;
провайдер пользователя;
браузер пользователя;
цифровой отпечаток браузера (canvas fingerprint);
доступные шрифты браузера;
установленные плагины браузера;
параметры WebGL браузера;
тип доступных медиа-устройств в браузере;
наличие ActiveX;
перечень поддерживаемых языков на устройстве пользователя;
архитектура процессора устройства пользователя;
ОС пользователя;
параметры экрана (разрешение, глубина цветности, параметры размещения страницы на экране);
информация об использовании средств автоматизации при доступе на Сайт.
3.2. В отношении зарегистрированных пользователей Сайта могут собираться сведения об использовании портов на устройствах пользователей с целью выявления подозрительной активности и защиты личных кабинетов пользователей. Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др.
3.3. Персональные данные разных категорий субъектов персональных данных обрабатываются Предпринимателем в различных целях. Если субъект персональных данных относится к нескольким категориям, его персональные данные могут обрабатываться в целях, характерных для каждой из таких категорий.
3.4. Предприниматель может использовать сторонние интернет-сервисы и технологии третьих лиц для организации сбора статистических персональных данных, сторонние сервисы обеспечивают хранение полученных данных на собственных серверах (в том числе провайдеров услуг информационно-технологического обслуживания, включая провайдеров услуг хостинга, операторов информационных систем, провайдеров услуг технической поддержки). Предприниматель не несет ответственности за локализацию серверов сторонних интернет-сервисов. Порядок сбора и использования данных, собираемыми такими сторонними интернет-сервисами и технологиями третьих лиц, определяется самостоятельно такими сервисами и непосредственно они несут ответственность за соблюдение этого порядка и использование собираемых ими данных, в том числе отвечают и обеспечивают выполнение требований применимого законодательства о защите персональных данных РФ.
3.5. Предприниматель не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.
4. Принципы и условия обработки персональных данных
4.1. Обработка персональных данных Предпринимателем осуществляется для достижения конкретных, заранее определенных целей в соответствии с Пользовательским соглашением интернет-сайта, и соглашениями между Предпринимателем и пользователями.
4.2. Обработке подлежат только те персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых персональных данных не допускается.
4.3. При обработке персональных данных обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Предприниматель принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных персональных данных.
4.4. Предприниматель в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
4.5. Сроки обработки персональных данных определяются в соответствии с целями, для которых они были собраны.
5. Права субъекта персональных данных
5.1. Субъект персональных данных имеет право, если иное не предусмотрено законом:
получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
требовать перечень своих персональных данных, обрабатываемых Предпринимателем, и источник их получения;
требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.2. Пользователь вправе сообщить Предпринимателю об изменении или удалении персональных данных, которые были им предоставлены, или отказаться от дальнейшей их обработки, направив уведомление Предпринимателю.
5.3. В случае получения обращения, содержащего информацию об обработке Предпринимателем неточных персональных данных или неправомерной обработке персональных данных, ответственное за рассмотрение запроса лицо незамедлительно организует блокирование таких персональных данных на период проверки. В случае сообщения об обработке Предпринимателем неточных персональных данных блокирование осуществляется при условии, что оно не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
5.4. В случае подтверждения факта неточности обрабатываемых персональных данных на основании сведений, представленных субъектом персональных данных, его представителем или уполномоченным органом по защите прав субъектов персональных данных, обеспечивается уточнение персональных данных в течение 7 (семи) рабочих дней со дня представления таких сведений. Если уточнение данных невозможно осуществить в указанный срок, уточнение осуществляется в кратчайшие возможные сроки. Разблокирование данных производится по итогам их уточнения.
5.5. В случае выявления по итогам проверки неправомерной обработки персональных данных Предпринимателем, производится устранение нарушения в срок, не превышающий 3 (три) рабочих дня с момента подтверждения факта неправомерной обработки.
5.6. Если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 (десять) рабочих дней со дня выявления неправомерной обработки персональных данных, производится уничтожение данных.
5.7. Об устранении допущенных нарушений или об уничтожении персональных данных немедленно уведомляется субъект персональных данных или его представитель, а если обращение либо запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также указанный орган.
5.8. В случае отзыва субъектом персональных данных согласия на обработку его данных Предприниматель обязуется прекратить обработку персональных данных и уничтожить их в течение 30 (тридцати) дней. Требования настоящего пункта не подлежат применению, если иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или действующим законодательством.
5.9. Предприниматель не несет ответственности за недостоверную информацию, предоставленную субъектом персональных данных.
6. Трансграничная передача персональных данных
6.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
6.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
7. Реализация требований к защите персональных данных
7.1. Предприниматель требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.2. С целью обеспечения безопасности персональных данных при их обработке Предприниматель принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.
7.3. Реализуемые Предпринимателем мероприятия по организационной и технической защите персональных данных осуществляются на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.
7.4. В целях обеспечения адекватной защиты персональных данных Предприниматель проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
7.5. В соответствии с выявленными актуальными угрозами Предприниматель применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.