ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ ЛУКЬЯНОВ ИВАН ВИТАЛЬЕВИЧ

Адрес: г. Москва, ул. 7-я Парковая, д. 15 корп. 1, кв. 171

ОГРНИП 322774600147610, ИНН 503150331787

УТВЕРЖДЕНО

ИП Лукьянов И.В.

11 августа 2025 г.

Положение
об обработке и защите персональных данных

1. Общие положения
1.1. Положение об обработке и защите персональных данных (далее - Положение) издано и применяется ИП Лукьяновым И.В. (далее - Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой и защитой персональных данных.
Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2.     Обработка персональных данных осуществляется в заранее определенных целях. Для каждой цели обработки персональных данных Оператором определены:
-            соответствующие категории и перечень обрабатываемых персональных данных;
-            категории субъектов ПДн, персональные данных которых обрабатываются;
-            способы и сроки обработки и хранения персональных данных;
-            порядок уничтожения персональных данных.
Цели обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных приведены в Приложении № 1 к настоящей Политике, являющемся ее неотъемлемой частью.
1.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.
Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5. Способы обработки персональных данных:
- с использованием средств автоматизации;
- без использования средств автоматизации.
1.6. Настоящее Положение и изменения к нему утверждаются приказом руководителя Оператора.
1.7. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Обучение указанных работников организуется структурным подразделением по повышению квалификации в соответствии с утвержденными Оператором графиками.
1.8. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.9. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.
1.10. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, настоящее Положение и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к настоящему Положению с использованием средств соответствующей информационно-телекоммуникационной сети.
1.11. Условия обработки персональных данных Оператором:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
1.12. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
1.13. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

2. Порядок обеспечения оператором прав субъекта персональных данных
2.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
2.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном гл. 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
2.3. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге.
2.4. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
2.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
2.6. Обработка персональных данных допускается только при условии предварительного согласия субъекта персональных данных.
Согласие на обработку персональных данных предоставляется субъектом персональных данных путем установки флагов/переключателей/нажатия кнопок в чек-боксах, ввода кодов, паролей на экранных веб-формах. Согласие на обработку персональных данных в случае требования действующего законодательства РФ подписывается собственноручной подписью на бумажном носителе либо электронной подписью на электронные носители в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».
Согласие на обработку персональных данных может быть отозвано субъектом путем направления в адрес оператора заявления, подписанного собственноручной подписью на бумажном носителе либо подписанного электронной подписью, приравненной к собственноручной подписи, в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» в электронном виде.
Отзыв согласия на обработку персональных данных может быть направлен по следующим адресам:
электронная почта:
почтовый адрес:
2.7. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
2.8. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
2.9. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя - письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
2.10. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в течение 30 (тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
2.11. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.
2.11. Оператор в течение 5 (пяти) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3. Порядок обработки персональных данных
3.1. Цель обработки персональных данных определяет Оператор.
3.2. На основании заданной цели Оператор определяет задачи, сроки, способы и условия обработки персональных данных, перечень причастных и ответственных лиц.
3.3. Оператор обязан:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения сотрудников Оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки ПД, требований к защите персональных данных;
- организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
- в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
3.4. Обработка персональных данных субъектов начинается с момента их Оператору и прекращается:
3.4.1. в случае выявления неправомерной обработки персональных данных Оператором или лицом, действующим по поручению, в срок, не превышающий десяти рабочих дней с даты такого выявления, Оператор обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае невозможности устранения допущенных нарушений в срок, не превышающий десять рабочих дней с даты выявления неправомерности действий с персональными данными, Оператор уничтожает персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его представителя, а в случае, если обращение или запрос были направлены Роскомнадзором - также этот орган;
3.4.2. в случае достижения цели обработки персональных данных Оператор незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных;
3.4.3. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор прекращает обработку персональных данных и уничтожает (за исключением персональных данных, которые хранятся в соответствии с действующим законодательством) персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данныхОператор уведомляет субъекта персональных данных.
3.5. Уничтожение ПДн производится в случаях и в сроки, указанные выше, если иное не установлено действующим законодательством РФ.
3.6. Оператор принимает следующие меры по обеспечению выполнения обязанностей, предусмотренных ФЗ «О персональных данных»:
3.6.1.   Назначение ответственных за организацию обработки и защиты персональных данных;
3.6.2.   Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
3.6.3.   Осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям законодательства РФ, настоящей Политике, иным локальным актам Оператора;
3.6.4.   Оценка возможного вреда субъектам персональных данных, причиненного в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператороммер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
3.6.5.   Ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой и иными локальными актами Оператора по вопросам обработки персональных данных и (или) обучение указанных работников;
3.6.6.   Обеспечение обработки персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пункте 5 статьи 18 ФЗ «О персональных данных».

1. Заключительные положения

4.1.      По вопросам, касающимся применения настоящей Политики и процессам обработки персональных данных заинтересованные лица могут обратиться по следующему адресу электронной почты: ivan@lukyanov.me.

Приложение № 1