Политика оператора в области обработки и защиты персональных данных
Редакция от 24.11.2025
1. Общие положения
1.1. Настоящая политика (далее — Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о ПДн) и является основополагающим внутренним регулятивным документом Индивидуального предпринимателя Комова Олега Игоревича, действующий на основании свидетельства о регистрации, ОГРНИП 322 774 600 592 332, выполняющего функции оператора персональных данных (далее — Оператор) Веб-сайта «https://fizart.ru» и Чат-бота «https://t.me/FizArtBot» (далее — Веб-сайт и Чат-бот), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, полученных Оператором в рамках функционирования указанного Веб-сайта и Чат-бота.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Оператором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
1.4. Если в отношениях с Оператором участвуют законные представители субъектов персональных данных (в том числе родители, опекуны, доверенные лица), Оператор осуществляет обработку персональных данных этих представителей в объёме, необходимом для подтверждения их полномочий и взаимодействия с Оператором. Положения настоящей Политики распространяются на такие случаи обработки персональных данных законных представителей, даже если они прямо не упомянуты во внутренних регулятивных документах Оператора.
2. Основания обработки и состав персональных данных, обрабатываемых Оператором в результате функционирования Веб-сайта и Чат-бота
2.1. Обработка персональных данных Оператором осуществляется в связи с функциональным назначением Веб-сайта и Чат-бота, определяемым в соответствии с:
1) Конституцией Р Ф;
2) Гражданским кодексом РФ;
3) иными нормативными правовыми актами Российской Федерации.
4) Публичной офертой Веб-сайта и Чат-бота (далее — «Пользовательское соглашение»);
2.2. В рамках осуществления основной функции Веб-сайта и Чат-бота — оказания Оператором в соответствии с Пользовательским соглашением комплекса услуг осуществляется:
1) сбор установочных контактных данных лиц, оставивших заявку на получение услуг, оказываемых Оператором (далее — «пользователи Веб-сайта и Чат-бота»);
2) хранение установочных контактных данных лиц, оставивших заявку на получение услуг, оказываемых Оператором;
При этом обрабатываются персональные данные пользователей Веб-сайта и Чат-бота: Фамилия Имя Отчество, контактный номер телефона, контактный адрес электронной почты;
Дополнительно, в зависимости от функционала Веб-сайта и Чат-бота, Оператором могут обрабатываться следующие персональные данные пользователей:
— никнеймы в мессенджерах или социальных сетях (Telegram, VK и др.);
— фотографии пользователя;
— данные, позволяющие идентифицировать физиологические особенности пользователя (биометрические персональные данные), включая изображения тела, оценочные параметры фигуры и иные сведения, необходимые для анализа динамики тренировочного процесса;
— иные сведения, добровольно предоставленные пользователем через формы Веб-сайта или Чат-бота, необходимые для оказания услуг Оператора.
2.3. В связи с реализацией прав и обязанностей как субъекта соответствующих правовых отношений, Оператором обрабатываются персональные данные физических лиц, являющихся контрагентами Оператора по гражданско-правовому договору, заключенному в порядке акцепта публичной оферты.
2.4. Персональные данные обрабатываются Оператором на основании федеральных законов и иных нормативных правовых актов Российской Федерации, приведенных в п. 5.2. настоящей Политики, а в необходимых случаях — при наличии письменного согласия (аналогичного ему согласия, полученного в электронной форме) субъекта персональных данных.
2.5. С согласия субъектов персональных данных и в целях исполнения взятых перед субъектами гражданско-правовых обязательств Оператор передает персональные данные лицам, оказывающим субъектам персональных данных соответствующие услуги:
В договоры с лицами, которым Оператор передает персональные данные или поручает их обработку, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных.
2.6. Оператор предоставляет обрабатываемые им персональные данные государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих персональных данных.
2.7. Оператором не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных Оператором, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Оператором персональных данных уничтожаются или обезличиваются.
2.8. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости — и актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.
2.9. В силу пп.2 ч. 2 ст. 22 ФЗ «О персональных данных» Оператор не обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных в силу того, что Оператором получаются персональные данные в связи с заключением договора (Пользовательского соглашения), стороной которого является субъект персональных данных, при этом персональные данные не распространяются, а также предоставляются конкретным третьим лицам с согласия субъекта персональных данных и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
2.10. Оператор осуществляет обработку биометрических персональных данных пользователей (включая фотографии, изображения тела, визуальные параметры физического состояния), предоставляемых пользователями добровольно для получения услуг Оператора. Обработка указанных данных осуществляется исключительно в целях:
— оценки физического состояния пользователя;
— формирования персонализированных рекомендаций в рамках оказываемых услуг;
— отслеживания динамики результатов;
— ведения личного кабинета и статистики в Чат-боте.
Обработка биометрических данных осуществляется на основании отдельного согласия пользователя, выраженного посредством действий по загрузке соответствующих изображений в Чат-бот или на Веб-сайт.
Биометрические данные не подлежат распространению и не передаются третьим лицам без отдельного согласия пользователя. Они обрабатываются до достижения целей обработки или до момента их удаления пользователем, но не более 3 лет с момента последнего взаимодействия пользователя с сервисом, если иное не предусмотрено пользователем отдельно.
2.11. Оператор использует автоматизированные средства обработки персональных данных, включая алгоритмы формирования персональных рекомендаций по питанию, тренировкам и анализу динамики физического состояния пользователя. Автоматическое принятие решений, порождающих юридические последствия или затрагивающих права пользователя, не осуществляется. Пользователь вправе в любой момент получить разъяснения о работе алгоритмов и запросить корректировку формируемых рекомендаций.
3. Принципы обеспечения безопасности персональных данных
3.1. Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
3.2. Для обеспечения безопасности персональных данных Оператор руководствуется следующими принципами:
1) законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
2) системность: обработка персональных данных Оператором осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
3) комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Оператора и других имеющихся в распоряжении Оператора систем и средств защиты;
4) непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных Оператором с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Оператора в установленных законодательством пределах, связанных с обработкой и защитой персональных данных;
8) минимизация прав доступа: доступ к персональным данным предоставлен только Оператору. Доступ третьих лиц возможен только в объеме, необходимом для выполнения их соответствующих функций и обязанностей в порядке, предусмотренном действующим законодательством, Пользовательским соглашением и настоящей Политикой;
9) гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Оператора (далее — ИСПДн), а также объема и состава обрабатываемых персональных данных;
10) научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
11) эффективность процедур выбора контрагентов: политика Оператора предусматривает тщательный подбор лиц, которым передаются персональные данные, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональным данным, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Оператора до заключения с ними соответствующих договоров;
12) непрерывность контроля и оценки: Оператором устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
4. Доступ к обрабатываемым персональным данным
4.1. Доступ к обрабатываемым персональным данным имеет непосредственно Оператор, а также лица, которым Оператор в установленном порядке передал персональные данные либо поручил обработку персональных данных на основании заключенного договора, а также лица, чьи персональные данные подлежат обработке (пользователи Веб-сайта и/или Чат-бота). Передача персональных данных третьим лицам осуществляется только на основании заключённых договоров, содержащих условия о конфиденциальности и защите персональных данных.
4.2. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Оператором, устанавливается в соответствии с законодательством и определяется внутренними регулятивными документами Оператора.
4.3. Оператор не осуществляет распространение персональных данных пользователей в открытом доступе.
5. Реализуемые требования к защите персональных данных
5.1. Оператор принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн.
5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты персональных данных, определяется, а внутренние регулятивные документы об обработке и защите персональных данных утверждаются (издаются) Оператором исходя из требований: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ; постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; иных нормативных правовых актов Российской Федерации об обработке и защите персональных данных.
5.3. В предусмотренных законодательством случаях обработка персональных данных осуществляется Оператором с согласия субъектов персональных данных. Оператором производится устранение выявленных нарушений законодательства об обработке и защите персональных данных.
5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Персональные данные, за исключением биометрических, хранятся до достижения целей обработки или до момента отзыва согласия субъектом персональных данных, но не более 10 лет, если иное не предусмотрено законодательством РФ. Фотографии и биометрические персональные данные хранятся до достижения целей обработки или до момента удаления пользователем, но не более 3 лет с момента последнего взаимодействия пользователя с сервисом, если иное не установлено пользователем отдельно. Персональные данные несовершеннолетних обрабатываются только с согласия их законных представителей.
5.5. Оператором осуществляется ознакомление третьих лиц, которым в установленном порядке передаются персональные данные, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, Политикой и иными внутренними регулятивными документами по вопросам обработки персональных данных.
5.6. При обработке персональных данных с использованием средств автоматизации Оператором, в частности, применяются следующие меры:
1) утверждаются внутренние регулятивные документы по вопросам обработки и защиты персональных данных, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
2) осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике и внутренним регулятивным документам Оператора;
3) проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, определяется соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о персональных данных.
5.7. Обеспечение безопасности персональных данных Оператором при их обработке в ИСПДн достигается, в частности, путем:
1) определения угроз безопасности персональных данных. Тип актуальных угроз безопасности персональных данных и необходимый уровень защищенности персональных данных определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;
2) определения в установленном порядке состава и содержания мер по обеспечению безопасности персональных данных, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности Оператором могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности персональных данных;
3) применения организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, обеспечивающих определенные уровни защищенности персональных данных;
4) осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных, уровня защищенности ИСПДн.
6. Права субъектов персональных данных
Субъект персональных данных, чьи персональные данные обрабатываются Оператором, имеет права, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», включая:
— право на получение информации об обработке его персональных данных;
— право требовать уточнения, блокирования или уничтожения персональных данных;
— право на отзыв согласия на обработку персональных данных;
— право на получение сведений о передаче персональных данных третьим лицам;
— право обжаловать действия Оператора в уполномоченный орган по защите прав субъектов ПДн.
— право получить разъяснения по использованию автоматизированных рекомендаций и отказаться от них.
Обращения по вопросам обработки персональных данных направляются Оператору в порядке, предусмотренном разделом 7 настоящей Политики.
7. Контактная информация
По вопросам обработки персональных данных и реализации своих прав субъект персональных данных может обратиться к Оператору:
— электронная почта: info@fizart.ru
— Оператор персональных данных: Индивидуальный предприниматель Комов Олег Игоревич.
Обращения рассматриваются в сроки, установленные Федеральным законом № 152-ФЗ.
Обращение может быть направлено также для реализации прав, предусмотренных ст. 14 Федерального закона № 152-ФЗ.
1. Общие положения
1.1. Настоящая политика (далее — Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о ПДн) и является основополагающим внутренним регулятивным документом Индивидуального предпринимателя Комова Олега Игоревича, действующий на основании свидетельства о регистрации, ОГРНИП 322 774 600 592 332, выполняющего функции оператора персональных данных (далее — Оператор) Веб-сайта «https://fizart.ru» и Чат-бота «https://t.me/FizArtBot» (далее — Веб-сайт и Чат-бот), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, полученных Оператором в рамках функционирования указанного Веб-сайта и Чат-бота.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Оператором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
1.4. Если в отношениях с Оператором участвуют законные представители субъектов персональных данных (в том числе родители, опекуны, доверенные лица), Оператор осуществляет обработку персональных данных этих представителей в объёме, необходимом для подтверждения их полномочий и взаимодействия с Оператором. Положения настоящей Политики распространяются на такие случаи обработки персональных данных законных представителей, даже если они прямо не упомянуты во внутренних регулятивных документах Оператора.
2. Основания обработки и состав персональных данных, обрабатываемых Оператором в результате функционирования Веб-сайта и Чат-бота
2.1. Обработка персональных данных Оператором осуществляется в связи с функциональным назначением Веб-сайта и Чат-бота, определяемым в соответствии с:
1) Конституцией Р Ф;
2) Гражданским кодексом РФ;
3) иными нормативными правовыми актами Российской Федерации.
4) Публичной офертой Веб-сайта и Чат-бота (далее — «Пользовательское соглашение»);
2.2. В рамках осуществления основной функции Веб-сайта и Чат-бота — оказания Оператором в соответствии с Пользовательским соглашением комплекса услуг осуществляется:
1) сбор установочных контактных данных лиц, оставивших заявку на получение услуг, оказываемых Оператором (далее — «пользователи Веб-сайта и Чат-бота»);
2) хранение установочных контактных данных лиц, оставивших заявку на получение услуг, оказываемых Оператором;
При этом обрабатываются персональные данные пользователей Веб-сайта и Чат-бота: Фамилия Имя Отчество, контактный номер телефона, контактный адрес электронной почты;
Дополнительно, в зависимости от функционала Веб-сайта и Чат-бота, Оператором могут обрабатываться следующие персональные данные пользователей:
— никнеймы в мессенджерах или социальных сетях (Telegram, VK и др.);
— фотографии пользователя;
— данные, позволяющие идентифицировать физиологические особенности пользователя (биометрические персональные данные), включая изображения тела, оценочные параметры фигуры и иные сведения, необходимые для анализа динамики тренировочного процесса;
— иные сведения, добровольно предоставленные пользователем через формы Веб-сайта или Чат-бота, необходимые для оказания услуг Оператора.
2.3. В связи с реализацией прав и обязанностей как субъекта соответствующих правовых отношений, Оператором обрабатываются персональные данные физических лиц, являющихся контрагентами Оператора по гражданско-правовому договору, заключенному в порядке акцепта публичной оферты.
2.4. Персональные данные обрабатываются Оператором на основании федеральных законов и иных нормативных правовых актов Российской Федерации, приведенных в п. 5.2. настоящей Политики, а в необходимых случаях — при наличии письменного согласия (аналогичного ему согласия, полученного в электронной форме) субъекта персональных данных.
2.5. С согласия субъектов персональных данных и в целях исполнения взятых перед субъектами гражданско-правовых обязательств Оператор передает персональные данные лицам, оказывающим субъектам персональных данных соответствующие услуги:
В договоры с лицами, которым Оператор передает персональные данные или поручает их обработку, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных.
2.6. Оператор предоставляет обрабатываемые им персональные данные государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих персональных данных.
2.7. Оператором не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных Оператором, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Оператором персональных данных уничтожаются или обезличиваются.
2.8. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости — и актуальность по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.
2.9. В силу пп.2 ч. 2 ст. 22 ФЗ «О персональных данных» Оператор не обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных в силу того, что Оператором получаются персональные данные в связи с заключением договора (Пользовательского соглашения), стороной которого является субъект персональных данных, при этом персональные данные не распространяются, а также предоставляются конкретным третьим лицам с согласия субъекта персональных данных и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
2.10. Оператор осуществляет обработку биометрических персональных данных пользователей (включая фотографии, изображения тела, визуальные параметры физического состояния), предоставляемых пользователями добровольно для получения услуг Оператора. Обработка указанных данных осуществляется исключительно в целях:
— оценки физического состояния пользователя;
— формирования персонализированных рекомендаций в рамках оказываемых услуг;
— отслеживания динамики результатов;
— ведения личного кабинета и статистики в Чат-боте.
Обработка биометрических данных осуществляется на основании отдельного согласия пользователя, выраженного посредством действий по загрузке соответствующих изображений в Чат-бот или на Веб-сайт.
Биометрические данные не подлежат распространению и не передаются третьим лицам без отдельного согласия пользователя. Они обрабатываются до достижения целей обработки или до момента их удаления пользователем, но не более 3 лет с момента последнего взаимодействия пользователя с сервисом, если иное не предусмотрено пользователем отдельно.
2.11. Оператор использует автоматизированные средства обработки персональных данных, включая алгоритмы формирования персональных рекомендаций по питанию, тренировкам и анализу динамики физического состояния пользователя. Автоматическое принятие решений, порождающих юридические последствия или затрагивающих права пользователя, не осуществляется. Пользователь вправе в любой момент получить разъяснения о работе алгоритмов и запросить корректировку формируемых рекомендаций.
3. Принципы обеспечения безопасности персональных данных
3.1. Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
3.2. Для обеспечения безопасности персональных данных Оператор руководствуется следующими принципами:
1) законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
2) системность: обработка персональных данных Оператором осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
3) комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Оператора и других имеющихся в распоряжении Оператора систем и средств защиты;
4) непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных Оператором с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Оператора в установленных законодательством пределах, связанных с обработкой и защитой персональных данных;
8) минимизация прав доступа: доступ к персональным данным предоставлен только Оператору. Доступ третьих лиц возможен только в объеме, необходимом для выполнения их соответствующих функций и обязанностей в порядке, предусмотренном действующим законодательством, Пользовательским соглашением и настоящей Политикой;
9) гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Оператора (далее — ИСПДн), а также объема и состава обрабатываемых персональных данных;
10) научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
11) эффективность процедур выбора контрагентов: политика Оператора предусматривает тщательный подбор лиц, которым передаются персональные данные, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональным данным, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Оператора до заключения с ними соответствующих договоров;
12) непрерывность контроля и оценки: Оператором устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
4. Доступ к обрабатываемым персональным данным
4.1. Доступ к обрабатываемым персональным данным имеет непосредственно Оператор, а также лица, которым Оператор в установленном порядке передал персональные данные либо поручил обработку персональных данных на основании заключенного договора, а также лица, чьи персональные данные подлежат обработке (пользователи Веб-сайта и/или Чат-бота). Передача персональных данных третьим лицам осуществляется только на основании заключённых договоров, содержащих условия о конфиденциальности и защите персональных данных.
4.2. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Оператором, устанавливается в соответствии с законодательством и определяется внутренними регулятивными документами Оператора.
4.3. Оператор не осуществляет распространение персональных данных пользователей в открытом доступе.
5. Реализуемые требования к защите персональных данных
5.1. Оператор принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн.
5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты персональных данных, определяется, а внутренние регулятивные документы об обработке и защите персональных данных утверждаются (издаются) Оператором исходя из требований: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ; постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; иных нормативных правовых актов Российской Федерации об обработке и защите персональных данных.
5.3. В предусмотренных законодательством случаях обработка персональных данных осуществляется Оператором с согласия субъектов персональных данных. Оператором производится устранение выявленных нарушений законодательства об обработке и защите персональных данных.
5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Персональные данные, за исключением биометрических, хранятся до достижения целей обработки или до момента отзыва согласия субъектом персональных данных, но не более 10 лет, если иное не предусмотрено законодательством РФ. Фотографии и биометрические персональные данные хранятся до достижения целей обработки или до момента удаления пользователем, но не более 3 лет с момента последнего взаимодействия пользователя с сервисом, если иное не установлено пользователем отдельно. Персональные данные несовершеннолетних обрабатываются только с согласия их законных представителей.
5.5. Оператором осуществляется ознакомление третьих лиц, которым в установленном порядке передаются персональные данные, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, Политикой и иными внутренними регулятивными документами по вопросам обработки персональных данных.
5.6. При обработке персональных данных с использованием средств автоматизации Оператором, в частности, применяются следующие меры:
1) утверждаются внутренние регулятивные документы по вопросам обработки и защиты персональных данных, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
2) осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике и внутренним регулятивным документам Оператора;
3) проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, определяется соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о персональных данных.
5.7. Обеспечение безопасности персональных данных Оператором при их обработке в ИСПДн достигается, в частности, путем:
1) определения угроз безопасности персональных данных. Тип актуальных угроз безопасности персональных данных и необходимый уровень защищенности персональных данных определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;
2) определения в установленном порядке состава и содержания мер по обеспечению безопасности персональных данных, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности Оператором могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности персональных данных;
3) применения организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, обеспечивающих определенные уровни защищенности персональных данных;
4) осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных, уровня защищенности ИСПДн.
6. Права субъектов персональных данных
Субъект персональных данных, чьи персональные данные обрабатываются Оператором, имеет права, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», включая:
— право на получение информации об обработке его персональных данных;
— право требовать уточнения, блокирования или уничтожения персональных данных;
— право на отзыв согласия на обработку персональных данных;
— право на получение сведений о передаче персональных данных третьим лицам;
— право обжаловать действия Оператора в уполномоченный орган по защите прав субъектов ПДн.
— право получить разъяснения по использованию автоматизированных рекомендаций и отказаться от них.
Обращения по вопросам обработки персональных данных направляются Оператору в порядке, предусмотренном разделом 7 настоящей Политики.
7. Контактная информация
По вопросам обработки персональных данных и реализации своих прав субъект персональных данных может обратиться к Оператору:
— электронная почта: info@fizart.ru
— Оператор персональных данных: Индивидуальный предприниматель Комов Олег Игоревич.
Обращения рассматриваются в сроки, установленные Федеральным законом № 152-ФЗ.
Обращение может быть направлено также для реализации прав, предусмотренных ст. 14 Федерального закона № 152-ФЗ.