Утверждена
решением администратора веб-сайта «shtory-deco.ru»
1 января 2017
ПОЛИТИКА АДМИНИСТРАТОРА ВЕБ-САЙТА «shtory-deco.ru» В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящая политика (далее — Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о ПДн) и является основополагающим внутренним регулятивным документом субъекта, выполняющего функции администратора (далее — Администратор) веб-сайта «shtory-deco.ru» (далее – Веб-сайт), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, полученных Администратором в рамках функционирования указанного Веб-сайта.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Администратором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Администратором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
1.4. Если в отношениях с Администратором участвуют наследники (правопреемники) и (или) представители субъектов персональных данных, то Администратор становится оператором персональных данных лиц, представляющих указанных субъектов. Положения Политики и другие внутренние регулятивные документы Администратора распространяются на случаи обработки и защиты персональных данных наследников (правопреемников) и (или) представителей субъектов персональных данных, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с Администратором.
1.5. Администратор (является физическим лицом) обязан предоставить индивидуализирующие его данные, обязанность предоставления которых предусмотрена действующим законодательством, (включая собственное Ф.И.О.) по запросу пользователей Веб-сайта, направленного ему посредством заполнения формы обратной связи Веб-сайта.
2. Основания обработки и состав персональных данных, обрабатываемых Администратором в результате функционирования Веб-сайта
2.1. Обработка персональных данных Администратором осуществляется в связи с функциональным назначением Веб-сайта, определяемым в соответствии с:
1) Конституцией РФ;
2) Гражданским кодексом РФ;
3) иными нормативными правовыми актами Российской Федерации.
4) Пользовательским соглашением Веб-сайта;
2.2. В рамках осуществления основной функции Веб-сайта оказания содействия в получении юридических услуг Администратором осуществляется:
1) сбор установочных контактных данных лиц, оставивших заявку на получение бесплатной юридической консультации (на оказание содействия в получении юридических услуг) (далее — «пользователи Веб-сайта»);
2) передача установочных контактных данных лиц, оставивших заявку на получение бесплатной юридической консультации (на оказание содействия в получении юридических услуг) (пользователей Веб-сайта) лицам, указанным в п. 2.10 настоящей Политики;
При этом обрабатываются персональные данные пользователей Веб-сайта:
имя, контактный номер телефона, контактный адрес электронной почты, город нахождения;
2.6. В связи с реализацией прав и обязанностей как субъекта соответствующих правовых отношений, Администратором обрабатываются персональные данные физических лиц, являющихся контрагентами (возможными контрагентами) Администратора по гражданско-правовому договору (Пользовательское соглашение, принимаемое в порядке публичной оферты), обращающихся к Администратору в целях получения содействия в получении юридических услуг и использования иных функциональных возможностей Веб-сайта в установленном порядке (заполнение специальной формы на Веб-сайте).
2.7. Персональные данные обрабатываются Администратором на основании федеральных законов и иных нормативных правовых актов Российской Федерации, приведенных в п. 5.2. настоящей Политики, а в необходимых случаях — при наличии письменного согласия (аналогичного ему согласия, полученного в электронной форме) субъекта персональных данных.
2.8. С согласия субъектов персональных данных и в целях исполнения взятых перед субъектами гражданско-правовых обязательств Администратор передает персональные данные иными лицами, оказывающим либо организующим оказание субъектам персональных данных услуг, с обязательным доведением перечня указанных лиц до субъектов персональных данных.
В договоры с лицами, которым Администратор передает персональные данные или поручает их обработку, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных.
2.9. Администратор предоставляет обрабатываемые им персональные данные государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих персональных данных.
2.10. Администратором не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных Администратором, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Администратором персональных данных уничтожатся или обезличиваются.
2.11. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости — и актуальность по отношению к целям обработки. Администратор принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.
2.12. В силу пп.2 ч. 2 ст. 22 ФЗ «О персональных данных» Агент не обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных в силу того, что Администратором получаются персональные данные в связи с заключением договора (Пользовательского соглашения), стороной которого является субъект персональных данных, при этом персональные данные не распространяются, а также предоставляются конкретным третьим лицам исключительно с согласия субъекта персональных данных и используются оператором только для исполнения указанного договора и заключения договоров с субъектом персональных данных.
3. Принципы обеспечения безопасности персональных данных
3.1. Основной задачей обеспечения безопасности персональных данных при их обработке Администратором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
3.2. Для обеспечения безопасности персональных данных Администратор руководствуется следующими принципами:
1) законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
2) системность: обработка персональных данных Администратором осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
3) комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Администратора (далее — ИС) и других имеющихся в распоряжении Администратора систем и средств защиты;
4) непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных Администратором с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Администратора в установленных законодательством пределах, связанных с обработкой и защитой персональных данных;
8) минимизация прав доступа: доступ к персональных данных предоставлен только Администратору. Доступ третьих лиц возможен только в объеме, необходимом для выполнения их соответствующих функций и обязанностей в порядке, предусмотренном действующим законодательством, Пользовательским соглашением и настоящей Политикой;
9) гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Администратора (далее — ИСПДн), а также объема и состава обрабатываемых персональных данных;
10) научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
11) эффективность процедур выбора контрагентов: политика Администратора предусматривает тщательный подбор лиц, которым передаются персональные данные, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональным данным, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Администратора до заключения с ними соответствующих договоров;
12) непрерывность контроля и оценки: Администратором устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
4. Доступ к обрабатываемым персональным данным
4.1. Доступ к обрабатываемым персональным данным имеет непосредственно Администратор, а также лица, которым Администратор в установленном порядке передал персональные данные либо поручил обработку персональных данных на основании заключенного договора, а также лица, чьи персональные данные подлежат обработке (посетители Веб-сайта).
4.2. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Администратором, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Администратора.
5. Реализуемые требования к защите персональных данных
5.1. Администратор принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн.
5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты персональных данных, определяется, а внутренние регулятивные документы об обработке и защите персональных данных утверждаются (издаются) Администратором исходя из требований:
Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ
постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных «;
иных нормативных правовых актов Российской Федерации об обработке и защите персональных данных.
5.3. В предусмотренных законодательством случаях обработка персональных данных осуществляется Администратором с согласия субъектов персональных данных.
Администратором производится устранение выявленных нарушений законодательства об обработке и защите персональных данных.
5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.5. Администратором осуществляется ознакомление третьих лиц, которым в установленном порядке передаются персональные данные, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, Политикой и иными внутренними регулятивными документами по вопросам обработки персональных данных.
5.6. При обработке персональных данных с использованием средств автоматизации Администратором, в частности, применяются следующие меры:
1) утверждаются внутренние регулятивные документы по вопросам обработки и защиты персональных данных, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
3) осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике и внутренним регулятивным документам Агентства;
4) проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, определяется соотношение указанного вреда и принимаемых Администратором мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о персональных данных.
5.7. Обеспечение безопасности персональных данных Администратором при их обработке в ИСПДн достигается, в частности, путем:
1) определения угроз безопасности персональных данных. Тип актуальных угроз безопасности персональных данных и необходимый уровень защищенности персональных данных определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;
2) определения в установленном порядке состава и содержания мер по обеспечению безопасности персональных данных, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности Администратором могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности персональных данных;
3) применения организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, обеспечивающих определенные уровни защищенности персональных данных.
4) контроль за принимаемыми мерами по обеспечению безопасности персональных данных, уровня защищенности ИСПДн.