1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика) является основополагающим документом ИП Ливинцева Анна Вадимовна (далее — Оператор, ОГРНИП: 325390000051502, ИНН: 390802822018), определяющим основные права и обязанности Оператора и субъекта персональных данных, категории субъектов персональных данных, объем и категории обрабатываемых персональных данных, порядок и условия их обработки Оператором, а также меры по обеспечению их безопасности.

1.2. Политика разработана и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных») и подлежит доведению до всеобщего сведения посредством опубликования на официальном сайте Оператора.

1.3. Политика является основой для организации обработки персональных данных Оператором, в том числе для разработки внутренней документации Оператора, регулирующей обработку персональных данных.

1.4. Термины и определения, используемые в Политике, употребляются в значении, определенном в ФЗ «О персональных данных».
 

2. Принципы обработки персональных данных:

2.1. Оператор осуществляет обработку персональных данных, исходя из следующих принципов:

2.1.1. законности целей и способов обработки персональных данных, добросовестности и справедливости деятельности Оператора;

2.1.2. обработки персональных данных, отвечающих целям их обработки;

2.1.3. соответствие содержания и объема персональных данных заявленной цели обработки без их избыточности;

2.1.4. недопустимость объединения баз данных, содержащих персональные данные, обрабатываемые для целей несовместимых между собой;

2.1.5. точность, достаточность персональных данных, а в необходимых случаях — актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению, или уточнению неполных или неточных данных;

2.1.6. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, в течение срока не больше, чем этого требуют цели обработки персональных данных;

2.1.7. уничтожение персональных данных по достижению цели их обработки, или в случае утраты, когда необходимость в достижении цели утрачена, если иное не предусмотрено законодательством Российской Федерации;

2.1.8. обеспечение конфиденциальности и безопасности персональных данных.
 

3. Основания обработки персональных данных

3.1. Обработка персональных данных Оператором производится при наличии хотя бы одного основания и может продолжаться до момента, пока не прекратят действие все основания обработки:

3.1.1. Согласие субъекта персональных данных на обработку его персональных данных;

3.1.2. Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3.1.3. При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;

3.1.4. Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

3.1.5. В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1.6. Для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

3.1.7. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

3.1.8. Для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

3.1.9. Оператор вправе поручить обработку персональных данных третьим лицам на основании заключаемых с этими лицами договоров, с соблюдением всех требований, предусмотренных ФЗ «О персональных данных».
 

4. Цели обработки персональных данных:

4.1. Осуществление прав и законных интересов Оператора как индивидуального предпринимателя, оказывающего услуги в сфере адаптивной физической культуры и логопедии, в рамках предпринимательской деятельности при:

4.1.1. Заключении и исполнении договоров:

· с физическими лицами (клиентами, законными представителями несовершеннолетних) на оказание услуг по адаптивной физической культуре, логопедической помощи, коррекционно-развивающим занятиям;

· с контрагентами (в том числе юридическими лицами и индивидуальными предпринимателями) для организации и проведения занятий, аренды помещений, оказания сопутствующих услуг;

· с физическими лицами, являющимися стороной или выгодоприобретателем по договорам оказания услуг;

4.1.2. Взаимодействии с клиентами и потенциальными клиентами:

· записи на занятия, формирования расписания, ведения учета посещаемости;

· информирования об услугах, изменениях расписания, акциях и предложениях;

· обработки заявок, поступающих через сайт, мессенджеры и иные каналы связи;

· ведения клиентской базы, поддержания связи с клиентами;

· проведения маркетинговых мероприятий, анализа посещаемости сайта и улучшения качества услуг (в том числе с использованием аналитических сервисов, например Яндекс.Метрика);

4.1.3. Оценке состояния здоровья и особенностей развития клиента (при необходимости):

· для подбора индивидуальной программы занятий по адаптивной физической культуре и логопедии;

· контроля динамики развития и эффективности занятий;

· обеспечения безопасности при оказании услуг;

4.2. Осуществление прав и законных интересов Оператора как работодателя (при наличии наемных работников) в рамках:

4.2.1. управления персоналом, оформления трудовых и гражданско-правовых отношений, организации работы специалистов (инструкторов, логопедов и др.);

4.2.2. подбора персонала, оценки квалификации специалистов, ведения кадрового учета;

4.2.3. обеспечения работников необходимыми условиями для выполнения профессиональной деятельности;

4.3. Для соблюдения и исполнения требований действующего законодательства Российской Федерации:

4.3.1. ведения бухгалтерского и налогового учета, учета доходов и расходов, уплаты налогов и страховых взносов, предоставления отчетности в государственные органы;

4.3.2. обеспечения безопасности при оказании услуг, защиты жизни и здоровья клиентов;

4.3.3. рассмотрения обращений, жалоб и претензий клиентов, урегулирования споров, исполнения требований уполномоченных государственных органов и судебных актов.

5. Субъекты персональных данных и категории обрабатываемых персональных данных

5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

5.1.1. Клиенты (физические лица), в том числе: 

· совершеннолетние получатели услуг; 

· родители (законные представители) несовершеннолетних клиентов;

5.1.2. Потенциальные клиенты: лица, оставившие заявки на сайте, в мессенджерах или по телефону;

5.1.3. Работники Оператора (при наличии);

5.1.4. Соискатели на вакансии (при наличии);

5.1.5. Контрагенты (при необходимости): арендодатели помещений; подрядчики и специалисты (логопеды, инструкторы и др.).

5.2. Перечень персональных данных:
5.2.1. Для клиентов: 

· ФИО; 

· контактный телефон; 

· адрес электронной почты (при наличии); 

· дата рождения (при необходимости); 

· сведения о состоянии здоровья (в объеме, необходимом для оказания услуг); 

· сведения о ребенке (если клиент — родитель); 

· информация о посещениях занятий и прогрессе.

5.2.2. Обработка данных о здоровье осуществляется: 

· только с письменного согласия субъекта; 

· исключительно в объеме, необходимом для оказания услуг; 

· с соблюдением требований законодательства РФ.

5.2.3. Для работников: 

· ФИО; 

· паспортные данные; 

· ИНН; 

· СНИЛС; 

· контактные данные; 

· сведения об образовании; 

· сведения о трудовой деятельности; 

· банковские реквизиты.

5.2.4. Для соискателей: 

· ФИО; 

· телефон; 

· email; 

· сведения об образовании и опыте работы.

5.2.5. Для посетителей сайта: 

· IP-адрес; 

· cookie-файлы; 

· данные аналитики Яндекс.Метрика.

5.3. Оператор может осуществлять обработку специальных категорий персональных данных (сведения о состоянии здоровья) в связи с оказанием услуг адаптивной физической культуры и логопедии, исключительно: 

· при наличии письменного согласия; 

· в объеме, необходимом для оказания услуг.

6. Порядок обработки персональных данных

6.1. Оператор осуществляет обработку персональных данных способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), доступ, предоставление, использование, блокирование, удаление, уничтожение.

6.2. Обработка персональных данных субъектов производится неавтоматизированным и автоматизированным путем с передачей по информационно-телекоммуникационным путям и без таковой.

6.3. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления Оператором прямых контактов с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.

6.4. Оператор вправе на основании договора, соответствующего требованиям ФЗ «О персональных данных», поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.

Оператор остается ответственным перед субъектом персональных данных при поручении обработки его персональных данных третьему лицу, а третье лицо в полной мере отвечает перед Оператором.

6.5. Персональные данные без согласия субъекта персональных данных передаются Оператором исключительно в случаях, предусмотренных в ФЗ «О персональных данных».
 

7. Сроки прекращения обработки персональных данных Оператором.

7.1. Оператор обязан прекратить обработку персональных данных при наступлении следующих событий:

· достигнуты цели обработки или утрачена необходимость в их достижении;

· получен отзыв согласия субъекта персональных данных на обработку персональных данных — если сохранение персональных данных не требуется для цели обработки персональных данных;

· представление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

· выявление неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных;

· требование субъекта персональных данных о прекращении обработки персональных данных, если у Оператора нет иного основания обработки персональных данных субъектов;

· истечение срока хранения персональных данных, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных или выход субъекта из договора, стороной/поручителем/выгодоприобретателем по которому он являлся;

· прекращение действия поручения обработки данных, на основании которого данные обрабатывались.

7.2. Оператор придерживается сроков прекращения обработки персональных данных, указанных в ст.20 и ст.21 ФЗ «О персональных данных»
 

8. Обеспечение безопасности персональных данных

8.1. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 18.1. и ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8.2. Обеспечение безопасности персональных данных достигается в частности:

· определением угроз безопасности персональных данных, при их обработке в информационных системах персональных данных, и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационных системах персональных данных;

· определение, требуемых уровней защищенности персональных данных, обрабатываемых в информационной системе персональных данных и соблюдение требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

· посредством прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

· оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных, до ввода в эксплуатацию информационной системы персональных данных;

· учетом машинных носителей персональных данных;

· разграничение прав доступа сотрудников к базе персональных данных информационной системы персональных данных;

· охрана помещений Оператора, ограниченный доступ в помещения, где расположены базы персональных данных;

· обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по исключению в дальнейшем такого доступа;

· восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

· установлением права доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;

· контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности системы персональных данных.

· назначением лица, ответственного за организацию обработки персональных данных у Оператора.

8.3. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в соответствии с законодательством Российской Федерации.
 

9. Обеспечение прав субъекта персональных данных Оператором

9.1. Субъекты персональных данных обладают правами, предусмотренными ФЗ «О персональных данных» и другими нормативно-правовыми актами в сфере обработки персональных данных, а Оператор обеспечивает права субъектов персональных данных в порядке, предусмотренные главами 3 и 4 ФЗ «О персональных данных».

9.2. Субъект персональных данных обладает правом:

9.2.1. На доступ к своим персональным данным, который включает в себя:

· право на получение информации, касающейся обработки его персональных данных, в объеме, предусмотренном ч.7. ст.14 ФЗ «О персональных данных»;

· право на уточнение и актуализацию персональных данных;

· право требовать блокирования или уничтожения данных, обрабатываемых с нарушением принципов или оснований обработки, указанных в разделах 2 и 3 Политики соответственно;

· отозвать согласие на обработку своих персональных данных.

Право субъекта персональных данных на доступ к его персональным данным предоставляется Оператором на основании обращения или запроса в порядке, предусмотренном ст. 14 ФЗ «О персональных данных», направленного на юридический адрес Оператора или по электронной почте info@1afc.ru.

Право на доступ к персональным данным может быть ограничено в соответствии с ч.8. ст.14 ФЗ «О персональных данных» и другими федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9.2.2. Обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ «О персональных данных» или иными образом нарушает его права и свободы.

9.2.3. Защищать свои права и законные интересы, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.

9.3. В обязанности Оператора входит:

Оператор обеспечивает право на доступ субъекта персональных данных:

9.3.1. предоставляя субъекту требуемую информацию по его запросу или обращению. Основания для отказа в предоставлении информации составляют — поступление повторного запроса, не соответствующего условиям, указанным в ч. 4 и 5 ст.14 ФЗ «О персональных данных» или наличие обстоятельств, указанных в ч. 8 той же статьи. Отказ должен быть мотивирован Оператором.

9.3.2. уточняя неполные, неактуальные устаревшие данные, блокируя их на период проверки, если это не нарушает права и законные интересы субъекта;

9.3.3. при выявлении неправомерно обрабатываемых персональных данных осуществляя блокирование на период проверки, а затем, если обеспечить правомерность не представляется возможным — производя уничтожение персональных данных;

9.3.4. уничтожая незаконно полученные или несоответствующие заявленным целям обработки персональные данные;

9.3.5. прекращая обработку персональных данных при достижении заявленных целей обработки, и уничтожая их;

9.3.6. осуществляя иные предусмотренные законодательством РФ действия.

Оператор уведомляет субъекта персональных данных о выполнении своих обязательств. Сроки осуществления Оператором обязательств, указанных в п.9.3.1. — 9.3.7. Политики, и уведомления о их выполнении определяются ФЗ «О персональных данных» или соглашением с субъектом персональных данных.

9.3.7. При отказе субъекта в предоставлении персональных данных разъяснить субъекту персональных данных юридические последствия такого отказа, если предоставление персональных данных является обязательным в соответствии с законодательством РФ;

9.3.8. Если персональные данные получены не от субъекта персональных данных, по основаниям отличным от согласия на обработку персональных данных, до начала обработки персональных данных предоставить субъекту персональных данных следующую информацию:

· наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;

· цель обработки персональных данных и ее правовое основание;

· перечень обработки персональных данных;

· о предполагаемых пользователях персональных данных;

· об установленных ФЗ «О персональных данных» правах субъекта персональных данных;

· источник получения персональных данных.

9.3.9. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п.9.3.9. Политики, в случаях, если:

· субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

· персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

· Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

· предоставление субъекту персональных данных сведений, предусмотренных п.9.3.9. Политики, нарушает права и законные интересы третьих лиц;

· иных случаях, предусмотренных законодательством Российской Федерации.

9.3.10. Назначить лицо, ответственное за организацию обработки персональных данных, которое обязано:

· осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

· доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

· организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Указанное лицо непосредственно получает указания от Индивидуального Предпринимателя и подотчетно ему.

9.3.11. Принимать локальные нормативные акты, определяющие в отношении целей обработки персональных данных, отдельные категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований, а также локальные нормативно-правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранения последствий таких нарушений.

9.3.12. Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации, политике Оператора в отношении обработки персональных данных, локальным актам оператора;

9.4. Производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;

9.5. Производить ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с документами, определяющими политику оператора в отношении обработки персональных данных, и локальными актами по вопросам обработки персональных данных, или обучения, указанных работников.

9.6. При привлечении третьих лиц к обработке персональных данных субъектов — получить согласие субъекта персональных данных;

9.7. Поддерживать актуальность сведений уведомления, направленного уполномоченному органу по защите прав субъектов персональных данных, в случаях предусмотренных ст.22 ФЗ «О персональных данных».
 

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

10.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.