Настоящее Положение оператора о конфиденциальности разработано в соответствии с Федеральным
законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Положением об обработке и защите персональных данных.
1. Настоящее Положение о конфиденциальности действует в отношении всех персональных данных, получаемых ИП Куплак Е.В. (далее - оператор). Под персональными данными следует понимать любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу.
2. Оператор обрабатывает и хранит только ту персональную информацию, которая необходима для предоставления им услуг или исполнения соглашений и договоров с субъектом персональных данных, за исключением случаев, когда законодательством Российской Федерации предусмотрено обязательное хранение персональной информации в течение определенного законом срока.
3. Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4. К субъектам персональных данных, на которых распространяется действие настоящего Положения, относятся работники, контрагенты, клиенты и иные третьи лица.
5. Оператор обязан обрабатывать персональные данные для целей, указанных в настоящем Положении и Положении об обработке и защите персональных данных, в том числе:
5.1. Персональные данные Работников; Соискателей; Уволенных работников; Клиентовоператор обрабатывает в следующих целях: Ведение кадрового и бухгалтерского учета.
5.2. Персональные данные Контрагентов; Клиентов; Посетителей сайта; Законных представителей оператор обрабатывает в следующих целях: Подготовка, заключение и исполнение гражданско-правового договора.
5.3.Персональные данные
Контрагентов; Клиентов; Посетителей сайта; Законных представителей; оператор обрабатывает в следующих целях:
Продвижение товаров, работ, услуг на рынке6. К персональным данным Работников; Соискателей; Уволенных работников; Клиентов, обрабатываемым оператором в целях Ведение кадрового и бухгалтерского учета, относятся: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; семейное положение; доходы; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании, сведения о состоянии здоровья;.
К персональным данным Контрагентов; Клиентов; Посетителей сайта; Законных представителей, обрабатываемым оператором в целях Подготовка, заключение и исполнение гражданско-правового договора, относятся: фамилия, имя, отчество; адрес электронной почты; номер телефона.
К персональным данным Контрагентов; Клиентов; Посетителей сайта; Законных представителей, обрабатываемым оператором в целях Продвижение товаров, работ, услуг на рынке, относятся: фамилия, имя, отчество; адрес электронной почты; номер телефона.
7. Обработка персональных данных совершается оператором смешанным путем с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
8. Оператор хранит персональные данные субъекта персональных данных в соответствии с настоящим положением, утвержденным Приказом оператора от "26" мая 2026 года № 2
Оператор обязан обеспечить конфиденциальность персональных данных, не разглашать без предварительного письменного разрешения субъекта персональных данных, а также не осуществлять продажу, обмен, опубликование полученных персональных данных субъекта персональных данных.
9. Работники оператора, в должностные обязанности которых входит обработка персональных данных, допускаются к работе после подписания обязательства об их неразглашении.
10. В отношении персональных данных субъекта персональных данных сохраняется их конфиденциальность, кроме случаев добровольного предоставления субъектом персональных данных информации о себе для общего доступа неограниченному кругу лиц.
11. Оператор вправе передать персональные данные субъекта персональных данных третьим лицам в случае, если передача предусмотрена законодательством Российской Федерации.
12. Обработка персональных данных субъекта персональных данных осуществляется любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. При обработке персональных данных субъекта персональных данных оператор руководствуется Федеральным
законом от 27.07.2006 N 152-ФЗ "О персональных данных".
12.1. При обработке персональных данных в информационных системах оператор соблюдает требования, установленные
Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных" и
Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
12.2. При обработке персональных данных без использования средств автоматизации оператор соблюдает требования, установленные
Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 N 687.
13. При неправомерной или случайной передаче (предоставлении доступа, распространении) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент), оператор:
- незамедлительно информирует субъекта персональных данных об утрате или разглашении персональных данных;
- в течение 24 часов уведомляет уполномоченный орган об инциденте, причинах инцидента, вреде, причиненном правам субъекта персональных данных, принятых мерах по устранению последствий инцидента, ответственном лице, уполномоченном взаимодействовать по связанным с инцидентом вопросам;
- в течение 12 часов проводит внутреннее расследование на условиях и в порядке, установленном Положением об обработке и защите персональных данных, утвержденным Приказом оператора от "26" мая 2026 г.
- в течение 72 часов уведомляет уполномоченный орган о результатах внутреннего расследования и лицах, действия которых привели к инциденту.
При направлении уведомления уполномоченному органу оператор руководствуется
Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
14. При обработке персональных данных оператор принимает необходимые организационные и технические меры для защиты персональных данных субъекта персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц, в том числе:
- определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными
Постановлением Правительства Российской Федерации от 01.11.2012 N 1119, уровни защищенности персональных данных;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- применение для уничтожения персональных данных средств защиты информации (в составе которых реализована функция уничтожения информации), прошедших в установленном порядке процедуру оценки соответствия;
- проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- ведение учета машинных носителей персональных данных;
- обеспечение обнаружения фактов несанкционированного доступа к персональным данным и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них;
- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.
15. Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, в порядке и на условиях, предусмотренных законодательством в области персональных данных.