УТВЕРЖДЕНА
Индивидуальным предпринимателем
Бабаковой Е.В.
20 декабря 2021 года
ПОЛИТИКА
в отношении обработки и защиты Персональных данных на сервисе «Дом психологической помощи Анорексии.net»
1. Общие положения
1.1. Настоящая политика в отношении обработки Персональных данных (далее – «Политика») разработана в соответствии с п. 2 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон от 27.07.2006 №152-ФЗ) и действует в отношении всех персональных данных, которые ИП Бабакова Е.В. (далее – «Предприниматель») получает от субъектов персональных данных — физических лиц, в связи с оказанием им услуг по предоставлению доступа к сервису «Дом психологической помощи АНОРЕКСИИ.НЕТ», размещенному в информационно-телекоммуникационной сети «Интернет» по адресу: www.анорексии.net (далее – «Сервис»).
1.2. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных:
- Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки персональных данных, права, обязанности и ответственность участников отношений, связанных с обработкой персональных данных;
- Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- иных нормативно – правовых актов.
1.3. Политика распространяется на Персональные данные, полученные как до, так и после утверждения настоящей Политики.
1.4. Предприниматель имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения в информационно – телекоммуникационной сети Интернет по адресу: www.анорексии.net.
1.5. Персональные данные обрабатываются Предпринимателем в следующих целях:
- Оказание Субъектам персональных данных надлежащих услуг, представленных на Сервисе;
- проведение Предпринимателем акций, опросов, интервью, тестирований и исследований на Сервисе;
- идентификация и верификация Субъекта персональных данных на Сервисе;
- предоставление Субъектам персональных данных Сервиса, а также информации о разработке и внедрении Предпринимателем новых функций Сервиса, услуг или акций, в том числе предоставление информации рекламного характера;
- обратная связь с Субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сервиса; контроль и улучшение качества услуг и сервисов Предпринимателя, в том числе предложенных на Сервисе;
- формирование статистической отчетности;
- осуществление хозяйственной деятельности;
- Обезличенные данные Субъектов персональных данных, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Субъектов персональных данных на Сервисе, улучшения качества Сервиса и его содержания;
- Направление Субъектам персональных данных посредством отправки электронных писем и смс информационных и рекламных сообщений;
- осуществление иных функций, полномочий и обязанностей, возложенных на Предпринимателя законодательством Российской Федерации и субъектами Российской Федерации.
2. Состав Персональных данных
2.1. Перечень Персональных данных, подлежащих обработке и защите, формируется в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ.
Сведениями, составляющими Персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее – «Субъект персональных данных»).
2.2. В связи с оказанием услуг Субъекту персональных данных по предоставлению доступа к Сервису, Предприниматель обрабатывает следующие Персональные данные:
- фамилия, имя, отчество
- возраст;
- номер телефона;
- должность, род деятельности, специальность и область профессиональных интересов;
- адрес электронной почты;
- данные платежных карт, при осуществлении оплаты услуг на сервисе;
- иные данные, указанные Субъектом персональных данных и/или необходимые для надлежащего оказания услуг.
Также на Сервисе происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
2.3. Предприниматель обеспечивает соответствие содержания и объема обрабатываемых Персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
2.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Предпринимателем не осуществляется.
2.5. Трансграничная передача персональных данных Предпринимателем не осуществляется.
2.6. Предприниматель может передавать отдельные Персональные данные Субъектов персональных данных (фамилия, имя или псевдоним, номер мобильного телефона, адрес электронной почты и иные данные) третьим лицам – психологам, оказывающих Субъекту персональных данных услуги для целей направления информационных сообщений и надлежащего оказания услуг.
3. Конфиденциальность Персональных данных
3.1. Информация, относящаяся к Персональным данным, является конфиденциальной информацией и охраняется законом Российской Федерации.
3.2. Предприниматель не предоставляет и не раскрывает обрабатываемые сведения, содержащие персональные данные, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предоставления данных психологам, выбранным Субъектом персональных данных, для надлежащего оказания ими своих услуг, а также, когда это необходимо, в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами Российской Федерации.
3.3. По мотивированному запросу, исключительно для выполнения возложенных законодательством Российской Федерации полномочий и функций, Персональные данные Субъекта персональных данных без его согласия могут быть переданы Предпринимателем:
- в судебные органы в связи с осуществлением правосудия;
- в органы государственной безопасности;
- в органы прокуратуры;
- в органы полиции;
- в следственные органы;
- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
3.4. Сотрудники Предпринимателя, ведущие обработку персональных данных, не раскрывают обрабатываемые Персональные данные. Сотрудники Предпринимателя, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско–правовой или уголовной ответственности в случае нарушения норм и требований законодательства Российской Федерации, регулирующего правила обработки и защиты персональных данных.
4. Порядок и способы обработки Персональных данных
4.1. Обработка Персональных данных Предпринимателем осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
4.2. Перечень действий, совершаемых Предпринимателем с Персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством Российской Федерации.
4.3. Обработка персональных данных осуществляется Предпринимателем при условии получения согласия субъекта персональных данных (далее – «Согласие»), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
4.4. Субъект Персональных данных принимает решение о предоставлении его Персональных данных и дает Согласие свободно, своей волей и в своем интересе.
4.5. Согласие дается в любой позволяющей подтвердить факт его получения форме.
4.6. Условием прекращения обработки Персональных данных может являться достижение целей обработки Персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
4.7. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Индивидуального предпринимателя заказным почтовым отправлением или письмом на электронную почту: info@анорексии.net.
4.8. Предприниматель при обработке Персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.
4.9. Согласие на обработку Персональных данных Субъекта персональных данных вступает в силу со дня его принятия (подписания) и действует в течение неопределенного срока и может быть отозвано на основании письменного заявления Субъекта персональных данных в произвольной форме.
4.10. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки Персональных данных, кроме случаев, когда срок хранения Персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных.
4.11. При осуществлении хранения Персональных данных Предприниматель использует базы данных, находящиеся на территории Российской Федерации.
4.12. Предприниматель имеет право передавать Персональные данные Субъектов персональных данных агентам, психологам и иным третьим лицам, действующим на основании договора с Предпринимателем, для надлежащего исполнения обязательств перед Субъектом персональных данных.
4.13. Предприниматель не раскрывает информацию о конкретных применяемых средствах и методах обеспечения информационной безопасности Персональных данных в целях обеспечения надлежащего уровня защиты персональных данных требованиям законодательства Российской Федерации.
4.14. В случае если посетитель Сервиса сделал свои Персональные данные или их часть доступными для неограниченного круга лиц, Предприниматель имеет право не обрабатывать такие Персональные данные и не несет за них ответственность.
4.15. При этом Предприниматель имеет право обрабатывать и обнародовать обезличенные данные Субъекта персональных данных, такие как пол, возраст, профессия, эмоциональное состояние и иное, в целях анализа, доработки, внесения изменений в Сервис, а также размещения статистических данных в информационно-телекоммуникационной сети «Интернет», на конференциях, предоставления аналитики третьим лицам, а Субъект персональных данных дает на это свое согласие.
5. Права субъектов Персональных данных
5.1. Субъект Персональных данных принимает решение о предоставлении его Персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
5.2. Субъект Персональных данных вправе требовать от Предпринимателя уточнения его Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3. Субъект Персональных данных вправе требовать отзыв своего согласия на обработку Персональных данных. В этому случае, услуги Сервиса Субъекту персональных данных предоставляться не могут.
5.4. Для реализации вышеуказанных прав Субъект Персональных данных, имеет право обратиться к Предпринимателю с соответствующим запросом. В целях выполнения запроса Предприниматель имеет право запросить дополнительную информацию.
5.5. Сведения должны быть предоставлены Субъекту Персональных данных Предпринимателем в доступной форме, и в них не должны содержаться Персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких Персональных данных.
5.6. Субъект Персональных данных имеет право на получение информации, касающейся обработки его Персональных данных, в том числе содержащей:
- подтверждение факта обработки Персональных данных Предпринимателем;
- правовые основания и цели обработки Персональных данных;
- цели и применяемые Предпринимателем способы обработки Персональных данных;
- наименование и место нахождения Предпринимателя, сведения о лицах, которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Предпринимателем или на основании федерального закона;
- обрабатываемые Персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 №152-ФЗ;
- сроки обработки Персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом Персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Предпринимателя, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ или другими федеральными законами.
5.7. Право Субъекта персональных данных на доступ к его Персональным данным может быть ограничен отдельными нормативно — правовыми актами Российской Федерации.
5.8. Лица, передавшие Предпринимателю недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
6. Безопасность Персональных данных
6.1. Предприниматель предпринимает необходимые технические и организационные меры информационной безопасности для защиты Персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к Персональным данным.
7. Меры по обеспечению защиты Персональных данных
7.1. В соответствии со статьями 18.1 и 19 Федерального закона от 27.07.2006 №152-ФЗ, постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Предприниматель принимает следующие организационные и технические меры, направленные на обеспечение установленного уровня защищенности персональных данных при их обработке в информационных системах Предпринимателя:
- Предприниматель является лицом, ответственным за обеспечение безопасности персональных данных в информационных системах Сервиса;
- устанавливает режим обеспечения безопасности помещения, в котором размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в помещении лиц, не имеющих права доступа в это помещение;
- обеспечивает сохранность носителей персональных данных;
- обеспечивает использование средств защиты информации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
- обеспечивает резервирование и восстановление персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обеспечивает наличие сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
- осуществляет соблюдение условий, обеспечивающих сохранность Персональных данных и исключающих несанкционированный к ним доступ;
- осуществляет обнаружение фактов несанкционированного доступа к Персональным данным и принятие мер;
- осуществляет иные меры, установленные нормативными правовыми актами Российской Федерации в области защиты Персональных данных.
8. Политика в отношении cookie-файлов
8.1. Сookie-файлы используются на Сервисе для улучшения качества взаимодействия посетителей с Сервисом, позволяя Сервису запоминать посетителей на время их первого или во время повторных посещений. В некоторых случаях cookie-файлы используются для персонализации информации на Сервисе, основываясь на местоположении.
8.2. Предприниматель использует cookie-файлы, которые необходимы для перемещения посетителей по Сервису или работы определенных основных функций. Сookie-файлы используются для улучшения функциональности Сервиса, например, за счет сохранения настроек посетителя. Предприниматель также использует cookie- файлы для улучшения работы Сервиса, чтобы улучшить качество взаимодействия посетителей с Сервисом. Предприниматель не использует cookie-файлы для сбора информации, позволяющей идентифицировать посетителей.
8.3. Во время посещения Сервиса могут быть использованы следующие cookie-файлы:
- собственные файлы cookie устанавливаются Сервисом и могут считываться только Сервисом;
- cookie-файлы сторонних разработчиков устанавливаются другими организациями, сервисы которых используются Предпринимателем. Например, Предприниматель использует сторонние аналитические сервисы, и провайдеры этих сервисов устанавливают cookie-файлы от имени Предпринимателя, чтобы сообщать Предпринимателю о том, какие из разделов на Сервисе являются популярными, а какие нет.