УТВЕРЖДАЮ                        

ИП Михайлова В.А_________

«09» февраля 2026 года         

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИП МИХАЙЛОВА В.А.

1. Общие положения

1.1. Положение об обработке персональных данных разработано в соответствии с Конституцией, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Положение, Закон о персональных данных) и иными нормативными правовыми актами Российской Федерации.

В рамках настоящего Положения под субъектами персональных данных понимаются:

клиенты ИП Михайлова В.А. (далее – Оператор);

контрагенты, представители контрагентов;

посетители сайта https://yagodansk.ru;

лица, направившие Оператору обращение (запрос, предложение, жалобу).

1.2. Настоящее Положение определяет порядок обработки персональных данных субъектов персональных данных и гарантии конфиденциальности сведений о них, предоставленных Оператору.

1.3. Целью настоящего Положения является защита персональных данных от несанкционированного доступа и разглашения. Персональные данные субъектов персональных данных являются конфиденциальной, строго охраняемой информацией.

1.4. В целях настоящего Положения под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. Перечень обрабатываемых персональных данных и их категории, категории субъектов персональных данных, действия с персональными данными, способ обработки, правовые основания обработки персональных данных, срок обработки и хранения персональных данных, порядок уничтожения персональных данных, а также информация о передаче Оператором персональных данных третьим лицам или поручении на обработку персональных данных приведены в Политике в области обработки и обеспечения безопасности персональных данных, утвержденной Оператором (далее – Политика).  

1.6. Документами, которые содержат персональные данные субъектов персональных данных, в зависимости от перечня персональных данных, субъектов персональных данных и целей их обработки являются:

договоры гражданско-правового характера;

согласия на обработку персональных данных;

обращения (запросы, предложения, жалобы), ответы на них и др.

1.7. Персональные данные, а также документы, указанные в пункте 1.6 настоящего Положения, их содержащие, являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случае обезличивания персональных данных.

2. Цели и основания обработки персональных данных

2.1. Обработка персональных данных может осуществляться исключительно в целях:

подготовки, заключения и исполнения гражданско-правового договора;

аналитики и улучшения качества работы сайта;

предоставления ответов на обращения (запросы, предложения, жалобы).

2.2. При определении объема и содержания обрабатываемых персональных данных Оператор руководствуется Конституцией РФ, Законом о персональных данных и иными федеральными законами. Оператор не вправе требовать представления персональных данных, которые будут избыточны для целей обработки.

3. Получение и обработка персональных данных

3.1. Персональные данные Оператор получает непосредственно от субъекта персональных данных. Оператор вправе получать персональные данные от третьих лиц только при наличии письменного согласия субъекта персональных данных или в иных случаях, прямо предусмотренных законодательством.

3.2. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

3.3. Оператор не вправе требовать от субъекта персональных данных представления персональных данных, которые будут избыточны для целей обработки, которые преследует Оператор.

3.4. Субъект персональных данных представляет Оператору достоверные сведения о себе.

3.5. При принятии решений, затрагивающих интересы субъекта персональных данных, Оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.6. В целях обработки персональных данных Оператор получает от каждого субъекта персональных данных согласие на обработку его персональных данных. Такое согласие Оператор получает, если законодательство не предоставляет Оператору права обрабатывать персональные данные без согласия субъекта персональных данных.

Согласие на обработку персональных данных должно быть:

конкретным (указание конкретных целей);

предметным (перечисление конкретных персональных данных);

информированным (ясное информирование о целях, действиях);

сознательным (активный выбор субъекта);

однозначным (четкое «да»).

Письменное согласие на обработку персональных данных должно включать в себя сведения, указанные в ч. 4 ст. 9 Закона о персональных данных.

3.7. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Законом о персональных данных или другими федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в отдельных положениях статей 6, 10 и 11 Закона о персональных данных.

4. Хранение персональных данных

4.1. Порядок хранения и использования персональных данных устанавливается Оператором в соответствии с требованиями ТК РФ и иных федеральных законов.

4.2. Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты.

4.3. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ и обеспечивающих защиту от несанкционированного доступа. Помещения, в которых они размещаются, оборудуются запирающими устройствами.

4.4. Персональные данные могут также храниться в электронном виде. Доступ к электронным базам данных, содержащим персональные данные, обеспечивается двухступенчатой системой паролей.

4.5. Изменение паролей производится Оператором не реже одного раза в два месяца.

4.6. Доступ к персональным данным имеет непосредственно ИП.

4.7. Не требуется согласие на передачу персональных данных:

третьим лицам в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;

в налоговые органы;

по мотивированному запросу органов прокуратуры;

по мотивированному требованию правоохранительных органов и органов безопасности;

по запросу суда;

в других случаях, предусмотренных федеральными законами.

4.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Использование персональных данных

5.1. Персональные данные используются для целей, указанных в Политике. Персональные данные хранятся столько, сколько нужно для достижения целей их обработки.

5.2. Документы хранятся в течение сроков, установленных Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным Приказом Росархива от 20.12.2019 № 236, а также Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения, утвержденным Приказом Росархива от 28.12.2021 № 142.

5.3. Персональные данные, представленные субъектом персональных данных, обрабатываются автоматизированным и без использования средств автоматизации способами. Конкретный способ обработки в отношении определенных Оператором целей указан в Политике.

5.4. Оператор не вправе принимать решения, затрагивающие интересы субъекта персональных данных, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных субъекта невозможно достоверно установить какой-либо факт, Оператор предлагает ему представить письменные разъяснения.

5.5. После истечения срока нормативного хранения документов, которые содержат персональные данные, документы подлежат уничтожению. Для этого Оператор проводит экспертизу ценности документов. В ходе проведения экспертизы должностное лицо, ответственное за организацию обработки персональных данных, отбирает документы с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению документов, не подлежащих хранению. После чего документы уничтожаются путем сжигания или применения иного способа, делающего невозможным прочтение информации. Персональные данные в электронном виде стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

6. Передача и распространение персональных данных

6.1. При передаче Оператором персональных данных субъект персональных данных должен дать на это согласие в письменной или электронной форме. Если субъект персональных данных оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.

6.2. Оператор вправе передать информацию, которая относится к персональным данным субъекта персональных данных, без его согласия, если такие сведения требуется передать по запросу государственных органов, в порядке, установленном законодательством.

6.3. Оператор не вправе распространять персональные данные субъекта персональных данных третьим лицам без согласия субъекта персональных данных на передачу таких данных.

6.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.

6.5. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.

6.6. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6.7. Согласие субъекта персональных данных на распространение персональных данных может быть предоставлено Оператору:

непосредственно;

с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

6.8. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении субъектом персональных данных указанных запретов и условий не допускается.

6.9. Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта персональных данных для распространения.

6.10. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

6.11. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Оператору требования, указанного в пункте 6.10 настоящего Положения.

6.12. Субъект персональных данных  вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Закона о персональных данных или обратиться с таким требованием в суд. Оператор или третье лицо обязаны прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Оператор или третье лицо обязаны прекратить передачу персональных данных в течение трех рабочих дней с момента вступления решения суда в законную силу.

Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

7           . Порядок блокирования и уничтожения персональных данных

7.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

7.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются.

7.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос Роскомнадзора были направлены самим Роскомнадзором, также указанный орган.

7.5. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.

7.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.

7.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет лицо, ответственное за организацию обработки персональных данных (далее – Ответственный).

7.8. Уничтожение персональных данных осуществляет Ответственный, который составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

Персональные данные на бумажных носителях уничтожаются путем сжигания или применения иного способа, делающего невозможным прочтение информации. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

7.9. Оператор подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:

актом об уничтожении персональных данных – если персональные данные обрабатываются без использования средств автоматизации;

актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных – если персональные данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.

Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.

7.10. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

8. Процедуры, направленные на предотвращение и выявление нарушений

законодательства, устранение последствий таких нарушений

8.1. Оператором проводятся внутренние расследования в следующих ситуациях:

при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее – инцидент);

в иных случаях, предусмотренных законодательством в области персональных данных.

8.2. Оператор осуществляет внутренний контроль:

за соблюдением самим Оператором требований законодательства в области персональных данных, настоящего Положения;

соответствия обработки персональных данных требованиям законодательства в области персональных данных, Политике, иным локальным актам Оператора.

8.3. Внутренний контроль проходит в виде внутренних проверок.

Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается Оператором.

Внутренние внеплановые проверки осуществляются по решению Оператора. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.

8.4. По итогам внутренней проверки оформляется акт. Если выявлены нарушения, в акте приводится перечень мероприятий по их устранению и соответствующие сроки.

8.5. В случае инцидента Оператор:

8.5.1. в течение 24 часов уведомляет Роскомнадзор:

о произошедшем инциденте;

его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;

принятых мерах по устранению последствий инцидента;

о представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

8.5.2. в течение 72 часов обязан сделать следующее:

уведомить Роскомнадзор о результатах внутреннего расследования;

предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

8.6. При направлении уведомлений, указанных в пункте 8.5 настоящего Положения, также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

9. Ответственность за нарушение норм, регулирующих

обработку персональных данных

9.1. Лица, виновные в нарушении положений законодательства в области персональных данных, привлекаются к ответственности в порядке, установленном федеральными законами.

9.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

10. Заключительные положения

10.1. Настоящее Положение вступает в силу с момента его утверждения.

10.2. Положение может быть изменено или отменено Оператором.