Политика конфиденциальности

Общие положения

Настоящая Политика в отношении обработки и защиты персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет политику плательщика НПД Балыдиной Надежды Геннадиевны, ИНН 645114210500 (далее — Оператор, Самозанятая) в области обработки и обеспечения безопасности персональных данных.

Политика действует в отношении всех процессов по обработке персональных данных, осуществляемых Оператором как с использованием средств автоматизации, так и без их использования.

Политика является общедоступным документом и подлежит размещению на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» https://bt-aistudio.ru/privacy

Основные понятия

В настоящей Политике используются следующие основные понятия:

Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор — Самозанятая Балыдина Надежда Геннадиевна, самостоятельно организующая и осуществляющая обработку персональных данных, а также определяющая цели их обработки.
Субподрядчик — физическое лицо, применяющее специальный налоговый режим НПД, индивидуальный предприниматель или юридическое лицо, привлекаемые Оператором на договорной основе для выполнения определенных работ или оказания услуг, необходимых для исполнения обязательств Оператора перед Субъектом персональных данных, и осуществляющие обработку персональных данных по поручению Оператора.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Принципы обработки персональных данных

Обработка персональных данных Оператором осуществляется на основе следующих принципов:

Законности и справедливой основы.
Ограничения обработки достижением конкретных, заранее определенных и законных целей.
Недопустимости обработки персональных данных, несовместимой с целями сбора персональных данных.
Недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработки только тех персональных данных, которые отвечают целям их обработки.
Соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки.
Недопустимости избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки.
Обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки.
Хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки.
Уничтожения либо обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Цели обработки персональных данных

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

Основными целями обработки персональных данных Оператором являются:

Осуществление внешнего информационного взаимодействия:

осуществление информационного и (или) организационного взаимодействия со всеми заинтересованными лицами посредством электронной почты, сайта в сети Интернет, контактного телефона, мессенджеров.
предложение и продвижение услуг на рынке путем осуществления маркетинговых коммуникаций с потребителем посредством сетей электросвязи, в том числе телефонной и подвижной радиотелефонной связи (подписка на новостную рассылку).
осуществление маркетинговых активностей путем мониторинга поведения целевой аудитории, обогащение данных о ней и таргетирование такой аудитории.
поиск, определение и анализ лиц, потенциально заинтересованных в сотрудничестве.

Организация и управление функционированием сайта:

предоставление доступа пользователю к информации и материалам, содержащимся на сайте в сети Интернет.
проведение маркетинговых, статистических и аналитических опросов и исследований, включая определение эффективности рекламы.
анализ эффективности веб-сайта, сбор данных о местоположении пользователей, IP-адресов, история регистраций и отчетов о регистрации сетевых событий.

Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
Федеральный закон № 422-ФЗ от 27 ноября 2018 года «О проведении эксперимента по установлению специального налогового режима "Налог на профессиональный доход";
иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

Правовым основанием обработки персональных данных также являются:

согласие субъектов персональных данных на обработку их персональных данных.

Объем и категории обрабатываемых персональных данных. Категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных определяются целью обработки и должны быть минимально необходимыми для ее достижения.

В соответствии с целями обработки персональных данных, указанными в настоящей Политике, Оператором осуществляется обработка следующих категорий субъектов персональных данных:

заявители обращений (представители контрагентов юридического лица, физические лица, граждане, являющиеся субъектами персональных): фамилия, имя, отчество; наименование должности; наименование организации; контактный номер телефона и (или) иные контактные данные; адрес корпоративной/личной электронной почты;
посетители сайта Самозанятой в информационно-телекоммуникационной сети Интернет: фамилия, имя, отчество; наименование должности; контактный номер телефона и (или) иные контактные данные; адрес электронной почты; наименование компании; информация, содержащаяся в сообщении, оставленном в форме связи; Ip-адрес; местоположение; файлы «cookie»; обезличенные данные о посетителях сайта, собираемые с помощью сервисов веб аналитики; техническая информация об устройстве, с которого осуществляется доступ к сайту https://bt-aistudio.ru; сетевой адрес пользовательского устройства.

Обработка специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) не осуществляется, за исключением случаев, прямо предусмотренных законодательством РФ.

Обработка биометрических персональных данных (фотографий, видеозаписей) не осуществляется.

Условия обработки персональных данных

Обработка персональных данных осуществляется с согласия субъекта ПДн, а также без его согласия в случаях, предусмотренных законодательством РФ.

Обработка персональных данных, разрешенных субъектом для распространения, осуществляется с соблюдением отдельных требований ст. 10.1 Закона о персональных данных. Согласие на такую обработку оформляется отдельно.

Обработка обезличенных персональных данных о посетителях сайта Самозанятой в информационно-телекоммуникационной сети Интернет, в том числе файлов «cookie», осуществляется исключительно с согласия пользователя сайта на обработку его персональных данных с использованием сервисов веб-аналитики. Согласие предоставляется путем принятия пользователем сайта условий, указанных на всплывающем информационном баннере и (или) совершения конклюдентных действий - продолжение использования сайта, и при условии, что пользователь разрешил это в настройках браузера (включено сохранение файлов «cookie»). В случае отказа от обработки файлов «cookie» пользователю необходимо прекратить использование сайта или отключить использование файлов «cookie» в настройках браузера, при этом некоторые функции сайта могут стать недоступны. Согласие действует с момента его предоставления и в течение всего периода использования сайта.

Способы и сроки обработки и хранения персональных данных

Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

Обработка персональных данных для каждой цели обработки, указанной в п. 4.2 Политики, осуществляется путем:

получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
внесения персональных данных в журналы, реестры и информационные системы Оператора;
использования иных способов обработки персональных данных.

Не допускается раскрытие и распространение Субподрядчикам и иным третьим лицам персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.

Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

Обеспечение безопасности персональных данных и прекращение обработки персональных данных

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

определяет угрозы безопасности персональных данных при их обработке;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
организует работу с информационными системами, в которых обрабатываются персональные данные;
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

Оператор прекращает обработку персональных данных в следующих случаях:

выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;
достигнута цель их обработки;
истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами, если иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

Права субъекта персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в порядке, форме и в сроки, установленные законодательством Российской Федерации в сфере персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Самозанятой;
правовые основания и цели обработки персональных данных;
применяемые Самозанятой способы обработки персональных данных;
сведения о лицах, которым могут быть раскрыты персональные данные на основании договора с Самозанятой или на основании федерального закона;
перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ; информацию о предполагаемой трансграничной передаче данных;
информацию о способах исполнения Самозанятой обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

Для реализации своего права на получение сведений, касающихся обработки его персональных данных, субъект персональных данных или его законный представитель должен направить Самозанятой Балыдиной Надежде Геннадиевне запрос, содержащий следующую информацию:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя,
сведения о дате выдачи указанного документа и выдавшем его органе,
сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором номер договора (при наличии), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором,
подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Самозанятая предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Субъект персональных данных вправе обратиться к Самозанятой повторно или направить повторный запрос в целях получения запрашиваемых сведений не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных.

Субъект персональных данных вправе обратиться к Самозанятой повторно или направить повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 10.4, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 10.1, должен содержать обоснование направления повторного запроса.

Субъект персональных данных имеет право на уточнение своих персональных данных, их блокирования или уничтожения, в случаях, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку его персональных данных.

Субъект персональных данных имеет право обратиться к Самозанятой с требованием о прекращении обработки персональных данных.

Самозанятая оставляет за собой право продолжить обработку персональных данных без согласия субъекта персональных данных, если такая обработка будет осуществляться при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных.

Субъект персональных данных вправе обжаловать действия или бездействие Самозанятой в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, в случае, когда субъект считает, что обработка его персональных данных осуществляется с нарушением требований Федерального закона № 152-ФЗ.

Субъект персональных данных имеет право на защиту своих прав и законных интересов в судебном порядке.

Права и обязанности Оператора

Основные права и обязанности Оператора

Оператор имеет право:

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
поручить обработку персональных данных Субподрядчику с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с Субподрядчиком договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

Оператор обязан:

организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

Порядок уничтожения персональных данных Оператором. Условия и сроки уничтожения персональных данных Оператором:

достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

Заключительные положения

Контроль за исполнением требований настоящей Политики осуществляется Самозанятой.

Субъекты персональных данных, чьи персональные данные обрабатываются Самозанятой, могут получить разъяснения по вопросам обработки своих персональных данных, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос посредством электронной почты по адресу: bt-aistudio@yandex.com

Политика конфиденциальности персональных данных