политика обработки персональных данных

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ КНЫШ Е.Н.

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее – «Политика») разработана Кныш Еленой Николаевной, физическим лицом, оказывающим услуги на основании Федерального закона от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход» (самозанятый гражданин), ИНН 631917404555, (далее – «Оператор»), в соответствии с требованиями:
* Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «ФЗ №152»);
* Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
* Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
* Иных применимых нормативных правовых актов РФ в области защиты персональных данных.
1.2. Политика определяет порядок обработки персональных данных Оператором, цели обработки, права субъектов персональных данных, а также меры, применяемые Оператором для обеспечения безопасности персональных данных.
1.3. Политика является общедоступным документом и подлежит размещению на официальном интернет-сайте Оператора: knysh-psy.ru.
1.4. К отношениям, связанным с обработкой персональных данных, не урегулированным настоящей Политикой, применяются положения ФЗ №152 и иного применимого законодательства РФ.
2. ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Наименование: Кныш Елена Николаевна
2.2. Статус: Физическое лицо, оказывающее услуги на основании Федерального закона от 27.11.2018 № 422-ФЗ (самозанятый гражданин)
2.3. ИНН: 631917404555
2.4. Адрес регистрации по месту жительства: г. Москва, ул. Чоботовская, д.3, кв.317.
2.6. Почтовый адрес (для корреспонденции): 119634
2.7. Контактная информация:
* Тел.: +79779757383
* E-mail: elena-knysh.71@yandex.ru
* Сайт: knysh-psy.ru
2.8. Лицо, ответственное за организацию обработки ПДн: Кныш Е.Н.
2.9. Контактные данные ответственного: Тел.: +79779757383, E-mail: elena-knysh.71@yandex.ru

3. ОСНОВНЫЕ ПОНЯТИЯ
3.1. Персональные данные (ПДн): Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (ст. 3 ФЗ №152).
3.2. Обработка ПДн: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн (ст. 3 ФЗ №152).
3.3. Биометрические персональные данные (БиоПДн): Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных (ст. 11 ФЗ №152) – в данном контексте: изображение лица.
3.4. Субъект ПДн: Клиент (физическое лицо), получающий услуги психологического консультирования у Оператора, либо его законный представитель.
3.5. Согласие субъекта ПДн: Любое добровольное, конкретное, информированное и сознательное волеизъявление субъекта ПДн в форме письменного (включая электронную форму) заявления, посредством которого он разрешает обработку своих ПДн (ст. 9 ФЗ №152).
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка Оператором ПДн осуществляется исключительно в следующих законных целях:
4.1.1. Заключение, исполнение, изменение, прекращение договоров на оказание услуг психологического консультирования (публичных оферт) между Оператором и Субъектом ПДн.
4.1.2. Идентификация Субъекта ПДн как стороны договора.
4.1.3. Осуществление связи с Субъектом ПДн по вопросам оказания услуг (согласование даты/времени сессий, информирование об изменениях, направление уведомлений, ответы на запросы).
4.1.4. Направление Субъекту ПДн финансовых документов (кассовых чеков/БСО), подтверждающих оплату услуг.
4.1.5. Обеспечение конфиденциальности информации, полученной в ходе оказания услуг.
4.1.6. Учет оказанных услуг и расчетов с Клиентами.
4.1.7. Соблюдение требований налогового законодательства РФ (Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации», Налоговый кодекс РФ).
4.1.8. Рассмотрение обращений, запросов, претензий Субъектов ПДн.
4.1.9. Обеспечение безопасности Субъектов ПДн и Оператора (предотвращение мошенничества, злоупотреблений; оценка возможности безопасного оказания услуг на основании предоставленной Клиентом информации).
4.1.10. Обеспечение возможности оказания услуг в дистанционном формате (обработка БиоПДн - изображения лица в режиме реального времени).
4.2. Обработка ПДн несовместима с целями сбора ПДн, указанными в п. 4.1, не осуществляется.
5. ПРАВОВЫЕ ОСНОВАНИЯ И СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка ПДн на основании договора (п. 5 ч. 1 ст. 6 ФЗ №152):
* Основание: Необходимость для исполнения договора, стороной которого является субъект ПДн (договора публичной оферты на оказание услуг психологического консультанта).
* Состав обрабатываемых ПДн (без отдельного согласия):
* Фамилия, Имя, Отчество (ФИО) Субъекта ПДн (Клиента или законного представителя);
* Контактный телефонный номер;
* Адрес электронной почты (e-mail);
* Реквизиты платежа (факт оплаты, дата, сумма, номер чека/БСО; банковские реквизиты Клиента не хранятся);
* Дата, время и формат запланированных и/или состоявшихся консультативных сессий (факт оказания услуги);
* Информация о состоянии психического здоровья, предоставленная Субъектом ПДн добровольно в Приложении 4 «Анкета первичного приема» к Договору-оферте исключительно в целях оценки возможности безопасного оказания услуг психологического консультирования (п. 4.1.9).
* Цели обработки: пп. 4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.1.5, 4.1.6, 4.1.7, 4.1.8, 4.1.9.
5.2. Обработка ПДн на основании согласия субъекта ПДн (п. 1 ч. 1 ст. 6, ст. 9 ФЗ №152):
* Основание: Согласие субъекта ПДн на обработку его ПДн.
* Состав обрабатываемых ПДн (только с отдельного, информированного, конкретного согласия, выраженного путем заполнения Приложения 1 к Договору-оферте):
* Обобщенная тематика запроса (в форме ключевых слов/тегов, например: "тревога", "выгорание", "отношения", "самооценка");
* Краткие не идентифицирующие заметки по содержанию сессии (для обеспечения преемственности консультирования в рамках текущего цикла сессий).
* Цели обработки: пп. 4.1.5, 4.1.6.
5.3. Обработка Биометрических ПДн (БиоПДн) (ст. 11 ФЗ №152):
* Основание: Обработка БиоПДн осуществляется исключительно на основании отдельного, предварительного, информированного, письменного (включая электронную форму) согласия субъекта ПДн (п. 1 ст. 11 ФЗ №152), предоставляемого в соответствии с п. 1.6 Договора-оферты.
* Состав обрабатываемых БиоПДн:
* Изображение лица Субъекта ПДн, передаваемое в ходе дистанционных консультативных сессий посредством видеосвязи.
* Особые условия обработки БиоПДн:
* Обработка (передача и прием видеосигнала) осуществляется исключительно в режиме реального времени в момент проведения дистанционной консультации.
* Запись аудио- и видеосодержания сессий Оператором НЕ ВЕДЕТСЯ и НЕ СОХРАНЯЕТСЯ.
* Изображение лица не фиксируется, не сохраняется на каких-либо носителях информации Оператора после окончания сессии.
* Обработка БиоПДн прекращается немедленно по окончании сессии.
* БиоПДн не хранятся.
* Цели обработки: пп. 4.1.10 (обеспечение возможности оказания услуг в дистанционном формате, идентификация Клиента во время сессии).
5.4. Обработка ПДн на основании выполнения обязанностей, возложенных законодательством (п. 2, 3 ч. 1 ст. 6 ФЗ №152):
* Основание: Обработка необходима для выполнения обязанностей, возложенных законодательством на Оператора (налоговое законодательство, Федеральный закон №54-ФЗ).
* Состав обрабатываемых ПДн: Данные, содержащиеся в кассовых чеках/БСО (ФИО Клиента, сумма, дата, ИНН Оператора, реквизиты платежа).
* Цели обработки: пп. 4.1.7.
5.5. Категории ПДн, обработка которых НЕ ОСУЩЕСТВЛЯЕТСЯ Оператором:
* Специальные категории ПДн (раса, национальность, политические взгляды, религиозные или философские убеждения, интимная жизнь), за исключением:
* Информации о состоянии психического здоровья, добровольно предоставленной самим Субъектом ПДн в Приложении 4 «Анкета первичного приема» к Договору-оферте исключительно в целях, указанных в п. 5.1.
* БиоПДн, обрабатываемых с согласия Субъекта ПДн в соответствии с п. 5.3.
* Данные, касающиеся судимости.
* Иные специальные категории ПДн, не указанные в пп. 5.1-5.4.
5.6. Оператор не осуществляет обработку общедоступных ПДн, а также обработку ПДн в статистических или иных исследовательских целях, не связанных напрямую с исполнением договора с Субъектом ПДн.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка ПДн осуществляется Оператором как с использованием средств автоматизации (автоматизированная обработка - персональный компьютер Оператора), так и без использования таких средств (неавтоматизированная обработка - бумажные носители).
6.2. Передача ПДн:
6.2.1. Оператор не передает и не раскрывает ПДн Клиентов третьим лицам, за исключением следующих случаев:
* Передача уполномоченным органам государственной власти Российской Федерации (в том числе ФНС России, Роскомнадзору, правоохранительным органам) по их мотивированному и законному запросу в порядке, установленном законодательством РФ.
* Передача данных в Федеральную налоговую службу (ФНС России) в составе фискальных данных (кассовый чек/БСО) в соответствии с Федеральным законом от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации».
6.2.2. При передаче ПДн третьим лицам, указанным в п. 6.2.1, Оператор обеспечивает соблюдение требований законодательства о конфиденциальности и безопасности ПДн.
6.3. Трансграничная передача ПДн: Оператор не осуществляет трансграничную передачу ПДн на территории иностранных государств.
6.4. Сроки хранения ПДн:
6.4.1. ПДн обрабатываются в течение сроков, необходимых для достижения целей обработки, указанных в разделе 4 настоящей Политики, и в соответствии со сроками, установленными законодательством РФ.
6.4.2. Конкретные сроки хранения:
* ПДн, обрабатываемые для исполнения Договора (п. 5.1, включая Приложение 4): Срок действия Договора + 3 (три) года после его прекращения (срок исковой давности по общему правилу, ст. 196 Гражданского кодекса РФ (ГК РФ)).
* ПДн, обрабатываемые на основании согласия (п. 5.2 - заметки): 30 (тридцать) дней после последней сессии с Клиентом (период обеспечения преемственности консультирования).
* Биометрические ПДн (п. 5.3): Не хранятся. Обработка прекращается немедленно по окончании сессии.
* Финансовые документы (чеки/БСО, подтверждения оплаты): 4 (четыре) года (ст. 23 Налогового кодекса РФ (НК РФ)).
* Запросы Субъектов ПДн (отзывы согласия, запросы на доступ и т.д.): 3 (три) года с момента полного рассмотрения и закрытия запроса.
6.4.3. По истечении установленных сроков хранения ПДн подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом. Уничтожение или обезличивание ПДн оформляется соответствующим актом.
6.5. Меры по обеспечению безопасности ПДн:
6.5.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн, в соответствии с требованиями ст. 19 ФЗ №152, Постановления Правительства РФ №1119, Приказа ФСТЭК России №21.
6.5.2. Организационные меры:
* Назначение ответственного за организацию обработки ПДн (Кныш Е.Н.).
* Утверждение и соблюдение настоящей Политики.
* Ограничение доступа к ПДн только Оператору.
* Регулярный контроль за соблюдением требований к защите ПДн.
6.5.3. Технические меры:
* Применение лицензионного антивирусного программного обеспечения с регулярным обновлением вирусных баз (Kaspersky Premium).
* Регулярное обновление операционной системы и прикладного программного обеспечения.
* Защита передаваемых данных: Использование криптографических средств защиты информации (протоколы TLS 1.3 и выше) при передаче ПДн через общедоступные сети (интернет) – при доступе к сайту, обмене электронной почтой, проведении дистанционных сессий через разрешенные платформы (VK Звонки, Яндекс.Телемост или иные разрешенные в РФ).
* Защита хранимых данных:
* Шифрование носителей информации (жестких дисков, SSD, USB-накопителей), на которых хранятся ПДн, с использованием стойких алгоритмов шифрования (AES-256);
* Использование сложных уникальных паролей для доступа к устройствам и учетным записям;
* Регулярное резервное копирование данных на зашифрованный внешний носитель.
* Физическая защита помещений и носителей информации.
6.5.4. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ №152, соотношение этого вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ №152, соответствует требованиям законодательства.
6.6. Обязательства Оператора при обработке ПДн:
6.6.1. Обрабатывать ПДн исключительно законно и добросовестно.
6.6.2. Не получать и не обрабатывать ПДн, избыточные по отношению к заявленным целям обработки.
6.6.3. Обеспечивать точность ПДн, их достаточность и актуальность по отношению к целям обработки.
6.6.4. Обеспечивать хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки.
6.6.5. Уничтожать или обезличивать ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.6.6. Не осуществлять обработку БиоПДн иначе как в соответствии с п. 5.3 настоящей Политики.
6.7. Запрет записи сессий: Категорически запрещается Клиенту осуществлять аудио- и/или видеозапись содержания консультативной сессии без предварительного письменного согласия Исполнителя. Нарушение данного запрета является грубым нарушением Договора-оферты и законодательства РФ (ст. 137 Уголовного кодекса РФ (УК РФ) «Нарушение неприкосновенности частной жизни», ст. 138.1 УК РФ «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации») и влечет последствия, предусмотренные п. 5.2.5 Договора-оферты.
7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии со ст.ст. 14, 15, 16, 17, 18, 20, 21 ФЗ №152 Субъект ПДн имеет право:
7.1. На получение информации, касающейся обработки его ПДн (ст. 14 ФЗ №152).
7.2. На уточнение своих ПДн, их блокирование или уничтожение (ст.ст. 14, 16, 17, 21 ФЗ №152).
7.3. На отзыв согласия на обработку ПДн (ст. 9 ФЗ №152).
7.4. На возражение против обработки ПДн (ст. 18 ФЗ №152).
7.5. На обжалование действий или бездействия Оператора (ст. 17 ФЗ №152) в Роскомнадзор или в суд.
7.6. Порядок реализации прав:
7.6.1. Для реализации своих прав Субъект ПДн (или его законный представитель) должен направить Оператору запрос:
* В письменной форме на почтовый адрес Оператора: 119634 г. Москва, ул.Чоботовская, д.3, кв.317, с пометкой «Персональные данные»;
* В форме электронного документа на адрес электронной почты Оператора: elena-knysh.71@yandex.ru, с пометкой «Персональные данные».
7.6.2. Запрос должен содержать:
* ФИО Субъекта ПДн;
* Номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
* Для представителя – документ, подтверждающий полномочия представителя (нотариальная доверенность или документ, подтверждающий родство/опекунство), и его данные;
* Суть запроса (какое право реализуется, какие ПДн уточняются/удаляются и т.д.);
* Адрес для направления ответа (почтовый или электронный).
7.6.3. Оператор обязуется:
* Подтвердить получение запроса в течение 3 (трех) рабочих дней с даты его поступления.
* Рассмотреть запрос и дать мотивированный ответ по существу в срок, не превышающий 10 (десять) рабочих дней с даты получения запроса. В случае необходимости проверки предоставленных данных или сложности запроса срок рассмотрения может быть продлен Оператором не более чем на 15 (пятнадцать) рабочих дней, о чем Субъект ПДн уведомляется в течение 3 рабочих дней с момента принятия решения о продлении срока.
7.6.4. Ответ направляется Субъекту ПДн способом, указанным в запросе, либо способом, согласованным с Субъектом ПДн.
8. КОНТАКТНАЯ ИНФОРМАЦИЯ ОПЕРАТОРА
По всем вопросам, связанным с обработкой Ваших персональных данных, реализацией Ваших прав, установленных ФЗ №152, а также в случае получения запросов от третьих лиц на доступ к Вашим ПДн, Вы можете обращаться к Оператору:
· Адрес электронной почты: elena-knysh.71@yandex.ru (с обязательной пометкой «Персональные данные»)

Почтовый адрес: 119634 г. Москва, ул. Чоботовская, д.3, кв.317 (с обязательной пометкой «Персональные данные»)

· Телефон: +79779757383

часы работы: 10.00 – 19.00 по Мск

Жалобы на действия (бездействие) Оператора, связанные с обработкой ПДн, могут быть направлены в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по [Вашему региону]:

Через официальный сайт: https://rkn.gov.ru/
Через форму приема обращений: https://rkn.gov.ru/feedback/

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящая Политика является общедоступной и подлежит размещению на официальном интернет-сайте Оператора.
9.2. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее опубликования на Сайте Оператора, если иное не предусмотрено новой редакцией Политики. Актуальная версия Политики всегда доступна по ссылке: knysh-psy.ru
9.3. Контроль за исполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки ПДн (Кныш Е.Н.).