Политика обработки персональных данных

1.1. Настоящая Политика обработки персональных данных (далее - Политика), разработанная в соответствии с Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных», устанавливает цели, основные принципы, правила и правовые основания обработки персональных данных, а также определяет основные меры по обеспечению их безопасности.
1.2. Настоящая Политика разработана индивидуальным предпринимателем Садековой Сарой Асиятовной, ИНН 524914247029, ОГРНИП 320527500101966, адрес: Нижегородская область, г. Дзержинск, просп. Циолковского, 32 А (далее - Оператор), в целях исполнения требований Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных».
Политика определяет общий порядок, принципы и условия обработки персональных данных Оператором и обеспечивает защиту прав субъектов персональных данных при обработке их персональных данных.
1.3. Целью разработки Политики является создание у Оператора единой системы взглядов и понимания целей, принципов и порядка обработки персональных данных.
1.4. Политика разработана в соответствии с требованиями Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов. Политика в том числе предназначена для публикации на веб-сайте Оператора и информационных стендах в целях ознакомления с ней неограниченного круга лиц.
1.5. Политика утверждается Оператором.
1.6. Политика действует бессрочно после утверждения и до ее замены новой версией.
1.7. Внесение изменений и дополнений в Политику, включая приложения к ней, производится Оператором в одностороннем порядке.
1.8. Все изменения и дополнения, вносимые Оператором в Политику, вступают в силу и становятся обязательными с даты утверждения новой версии Политики и последующего размещения актуальной версии на веб-сайте Оператора и на информационных стендах в течение 1 рабочего дня.
1.9. Политика распространяется на все действия Оператора, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
Настоящая Политика применяется также в отношении сайта Оператора, размещенного в сети Интернет по адресу: https://zaga-dz.ru/ (далее - Сайт), и действует в отношении всей информации, которую Пользователи могут получить или предоставить во время использования Сайта, его сервисов, программ и продуктов.
1.10. Положения Политики распространяются на всех работников Оператора, включая работников по трудовым договорам и лиц, работающих по гражданско-правовым договорам, а также на иных лиц при необходимости их участия в процессе обработки персональных данных Оператором.
Требования Политики также учитываются и предъявляются в отношении иных лиц в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку персональных данных.
1.11. Перечень целей обработки персональных данных ИП Садековой Сарой Асиятовной, состава персональных данных и их категорий, а также категорий субъектов персональных данных предусмотрен приложением № 2 к настоящей Политике.
1.12. Основные понятия, используемые в Политике:
Персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, субъекту персональных данных.
Оператор персональных данных (оператор) - индивидуальный предприниматель Садекова Сара Асиятовна, адрес: Нижегородская область, г. Дзержинск, просп. Циолковского, 32 А, ИНН 524914247029, ОГРНИП 320527500101966, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки, состав персональных данных, подлежащих обработке, и действия, операции, совершаемые с персональными данными.
Персональные данные, разрешенные субъектом персональных данных для распространения - ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных».
Биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.
Специальные категории персональных данных - категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и (или) философских убеждений, состояния здоровья, интимной жизни и судимости.
Работник - физическое лицо, состоящее с Оператором в трудовых отношениях на основании заключенного трудового договора.
Уволенный работник - физическое лицо, ранее состоявшее с Оператором в трудовых отношениях на основании заключенного трудового договора.
Близкий родственник - супруг, супруга, дети, родители, усыновители, усыновленные, родные братья и родные сестры, полнородные и неполнородные братья и сестры, дедушка, бабушка, внуки.
Соискатель - физическое лицо, претендующее на занятие вакантной должности у Оператора.
Контрагент - российское или иностранное юридическое либо физическое лицо, с которым Оператор состоит в договорных отношениях или планирует вступить в договорные отношения, за исключением трудовых отношений.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных, за исключением случаев, если обработка необходима для уточнения персональных данных.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель - бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения ПДн.
Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн, средства и системы звукозаписи, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления и тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства, операционные системы, программы управления базами данных и иные средства защиты информации, применяемые в информационных системах.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность персональных данных при их обработке в информационной системе.
Угроза безопасности информации - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в информационной системе, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные неправомерные действия.
Несанкционированный доступ - доступ к информационным системам персональных данных или действия с информацией, нарушающие правила доступа, в том числе с использованием штатных средств, предоставляемых информационными системами ПДн.
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании системы ПДн или использующее результаты ее функционирования.
Обработка персональных данных - любое действие, операция или совокупность действий, операций, совершаемые с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение ПДн.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Пользователь Сайта (далее - Пользователь) - лицо, имеющее доступ к Сайту и использующее Сайт посредством сети Интернет.
IP-адрес - уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
Cookies - небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта. Политика обработки Cookies-файлов является приложением № 1 к настоящей Политике.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Субъект персональных данных - лицо, данные которого обрабатываются, включая пользователей услуг и их близких родственников, контрагентов, работников ИП Садековой Сары Асиятовны, их близких родственников, кандидатов для приема на работу, соискателей, а также иных лиц, чьи персональные данные стали известны Оператору при осуществлении своей деятельности, в том числе в силу предоставления им со стороны Оператора социальных льгот, гарантий и компенсаций.
Конфиденциальность персональных данных - обязательное для Оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Смешанная обработка персональных данных - обработка персональных данных, осуществляющаяся с использованием средств автоматизации и без использования таких средств.
Квалифицированный сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме, подписываемой информации, или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

3.1. Оператор при сборе персональных данных обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных, в порядке и на условиях, указанных в разделе 10 настоящей Политики.
3.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
3.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, обновление, изменение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
3.4. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
3.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, а также к сведениям о реализуемых требованиях к защите персональных данных.
В случае осуществления сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор обязан опубликовать в соответствующей информационно-телекоммуникационной сети настоящую Политику и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием соответствующей информационно-телекоммуникационной сети.
3.6. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры либо обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.7. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
В поручении Оператора должны быть определены перечень персональных данных, перечень действий, операций с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки. Также должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка персональных данных Оператором осуществляется с соблюдением следующих принципов и правил:
5.1. Обработка персональных данных осуществляется на законной и справедливой основе.
5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
5.3. Обработке подлежат только персональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки.
5.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.5. При обработке персональных данных обеспечиваются точность, достаточность и, при необходимости, актуальность персональных данных по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных либо неточных данных либо обеспечивает принятие таких мер.
5.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.7. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
5.8. При обработке персональных данных Оператор обеспечивает:

конфиденциальность и безопасность информации в соответствии с требованиями законодательства Российской Федерации;
достоверность информации;
своевременный доступ к необходимой информации;
разграничение ответственности за нарушения законных прав и интересов субъектов ПДн и установленных правил обращения с информацией;
возможность осуществления непрерывного контроля и управления процессами обработки и передачи информации;
защиту информации от незаконного тиражирования.

6.1. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных, осуществляемая ИП Садековой Сарой Асиятовной, являются:

согласие субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством Российской Федерации для соответствующей категории персональных данных;
достижение целей, предусмотренных международным договором Российской Федерации или законом, а также осуществление и выполнение возложенных на Оператора законодательством Российской Федерации функций, полномочий и обязанностей;
судебные акты, акты другого органа или должностного лица, подлежащие исполнению Оператором в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;
договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также договор, заключенный по инициативе субъекта персональных данных, или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обеспечение и (или) осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
осуществление прав и законных интересов Оператора или третьих лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
обработка персональных данных в статистических или иных исследовательских целях при условии их обязательного обезличивания;
обработка персональных данных в целях опубликования или обязательного раскрытия информации в соответствии с законодательством Российской Федерации.

7.1. В целях эффективной организации процессов обработки и обеспечения безопасности персональных данных ИП Садекова Сара Асиятовна назначает ответственного за организацию обработки персональных данных либо осуществляет указанные функции самостоятельно.
Ответственный за организацию обработки персональных данных в соответствии с установленными полномочиями обеспечивает:

осуществление внутреннего контроля за соблюдением ИП Садековой Сарой Асиятовной требований законодательства Российской Федерации и локальных актов в области персональных данных, в том числе требований к защите персональных данных;
доведение до сведения работников ИП Садековой Сары Асиятовны положений законодательства Российской Федерации, локальных актов по вопросам обработки персональных данных, а также требований по защите персональных данных;
контроль за обработкой обращений и запросов субъектов персональных данных или их представителей по фактам нарушений законодательства в области персональных данных, допущенных работниками ИП Садековой Сары Асиятовны.

7.2. К обработке персональных данных допускаются работники ИП Садековой Сары Асиятовны, наделенные этим правом работодателем. Указанные работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
7.3. Обработка персональных данных Оператором осуществляется с использованием средств автоматизации и (или) без использования таких средств.
7.4. Обработка специальных категорий персональных данных, а также биометрических персональных данных Оператором осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.5. В целях реализации прав субъектов персональных данных ИП Садекова Сара Асиятовна при обработке их персональных данных:

применяет правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
разъясняет субъектам персональных данных юридические последствия отказа предоставить их персональные данные и (или) дать согласие на их обработку, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;
осуществляет блокирование, уточнение и уничтожение неправомерно обрабатываемых персональных данных, а также прекращение их неправомерной обработки;
уведомляет субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
предоставляет по запросу субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации, а также локальными актами ИП Садековой Сары Асиятовны;
осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации и локальным актам ИП Садековой Сары Асиятовны;
проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, и соотношение указанного вреда с принимаемыми ИП Садековой Сарой Асиятовной мерами, направленными на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных.

7.6. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, установленных статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных.
7.7. Передача персональных данных третьим лицам осуществляется с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
7.8. Передача персональных данных органам государственной власти допускается в отсутствие согласия субъекта персональных данных на обработку персональных данных в порядке и случаях, предусмотренных законодательством Российской Федерации.
7.9. Трансграничная передача персональных данных ИП Садековой Сарой Асиятовной не осуществляется.
7.10. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора.
7.11. При сборе персональных данных, в том числе с использованием информационно-телекоммуникационной сети «Интернет», ИП Садекова Сара Асиятовна обеспечивает запись, систематизацию, накопление, хранение, уточнение, обновление, изменение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.12. Обеспечение безопасности персональных данных, в том числе при их обработке в информационных системах, осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
7.13. Сроки обработки и хранения персональных данных для каждой цели обработки персональных данных, осуществляемой Оператором, предусмотренной приложением № 2 к настоящей Политике, определяются с учетом соблюдения требований законодательства Российской Федерации и (или) с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, и (или) согласия субъекта персональных данных на обработку его персональных данных.
7.14. Порядок и способы уничтожения персональных данных Оператором определяются в соответствии с законодательством Российской Федерации и локальными актами ИП Садековой Сары Асиятовны.
Персональные данные подлежат уничтожению в следующих случаях:

по достижении целей обработки или в случае утраты необходимости в достижении целей обработки персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные:

а) являются неполными, устаревшими, неточными, при условии, что уточнение персональных данных невозможно;
б) получены незаконно;
в) не являются необходимыми для заявленной цели обработки;

при выявлении неправомерной обработки персональных данных, в случае невозможности обеспечить правомерность обработки персональных данных;
в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

8.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных.
8.2. Обработка Оператором персональных данных допускается при наличии согласия Субъекта на обработку его персональных данных.
Согласие может быть выражено в письменной форме, а также в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках либо оформлено иным способом в соответствии с законодательством Российской Федерации.
Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с федеральным законом.
8.3. Допускается обработка персональных данных без согласия Субъекта в случаях, предусмотренных статьей 6 Федерального закона «О персональных данных», а также в соответствии с целями, указанными в настоящей Политике, в том числе для достижения следующих целей:

заключение, исполнение и прекращение гражданско-правовых договоров;
противодействие коррупции в деятельности Оператора;
оказание информационных, справочных и консультационных услуг в рамках телефонного обслуживания;
рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа;
осуществление личного приема граждан;
выполнение требований действующего законодательства Российской Федерации, указанных в настоящей Политике.

Также допускается обработка персональных данных Субъекта в случае отзыва согласия на обработку персональных данных, если такая обработка необходима для исполнения требований законодательства Российской Федерации в области архивного хранения документов, а также в области хранения документов медицинского характера, включая медицинскую документацию.
В данном случае срок хранения составляет:

75 лет в отношении работников;
25 лет в отношении пациентов, клиентов, потребителей.

8.4. Письменное согласие субъекта персональных данных должно включать:

фамилию, имя, отчество субъекта персональных данных;
адрес субъекта персональных данных;
номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование и адрес Оператора: индивидуальный предприниматель Садекова Сара Асиятовна, адрес: Нижегородская область, г. Дзержинск, просп. Циолковского, 32 А;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие;
общее описание используемых Оператором способов обработки персональных данных;
срок, в течение которого действует согласие;
способ отзыва согласия;
подпись субъекта персональных данных.

8.5. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных и их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

9.1. Обработка персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
9.2. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах Оператора, осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также с составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 № 21.
9.3. Уполномоченному работнику, имеющему право осуществлять обработку персональных данных в информационных системах, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями работника.
9.4. Информация может вноситься как в автоматическом режиме при получении персональных данных с официального сайта в сети Интернет, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
9.5. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
9.6. В случае выявления нарушений порядка обработки персональных данных уполномоченными работниками незамедлительно принимаются меры по установлению причин нарушений и их устранению.
9.7. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
регистрация событий безопасности;
антивирусная защита;
обнаружение и предотвращение вторжений;
контроль и анализ защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации и технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, а также реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.

9.8. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

10.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
фамилию, имя, отчество, адрес, ИНН и ОГРНИП Оператора, а также сведения о лицах, за исключением работников Оператора, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором либо на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

10.2. Указанные выше сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме. В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
10.3. Сведения, указанные в пункте 10.1 настоящей Политики, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором, в том числе номер договора, дату заключения договора, условное словесное обозначение и (или) иные сведения;
либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.4. В случае если сведения, указанные в пункте 10.1 настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса.
Иной, более короткий срок может быть установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.5. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 10.1 настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 10.4 настоящей Политики, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос наряду со сведениями, указанными в пункте 10.3 настоящей Политики, должен содержать обоснование направления повторного запроса.
10.6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.4 и 10.5 настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
10.7. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.
10.8. Оператор обязан безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
10.9. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.
10.10. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
10.11. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
10.12. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо по запросу уполномоченного органа по защите прав субъектов персональных данных, Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных.
Если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора, Оператор обязан обеспечить блокирование таких персональных данных с момента обращения или получения указанного запроса на период проверки.
10.13. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных, Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных.
Если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора, Оператор обязан обеспечить блокирование таких персональных данных с момента обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.14. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем, уполномоченным органом по защите прав субъектов персональных данных, либо на основании иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.
Уточнение персональных данных осуществляется в течение семи рабочих дней со дня предоставления таких сведений. После уточнения персональных данных Оператор обязан снять блокирование персональных данных.
10.15. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты выявления нарушения, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.
В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя. Если обращение субъекта персональных данных или его представителя либо запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Оператор также уведомляет указанный орган.
10.16. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.
Оператор обязан уничтожить персональные данные или обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора, в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
Иное может быть предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо в случаях, когда Оператор вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
10.17. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.
Если сохранение персональных данных более не требуется для целей обработки персональных данных, Оператор обязан уничтожить персональные данные или обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора, в срок, не превышающий 30 дней с даты поступления указанного отзыва.
Иное может быть предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо в случаях, когда Оператор вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
10.18. В случаях, указанных в пунктах 10.16 и 10.17 настоящей Политики, хранение документации осуществляется в соответствии с пунктом 8.3 настоящей Политики с учетом соблюдения врачебной тайны.
10.19. В случае отсутствия возможности уничтожения персональных данных в течение указанных сроков Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.
Оператор обеспечивает уничтожение персональных данных в срок не более шести месяцев, если иной срок не установлен федеральными законами.

11.1. Официальный сайт в сети Интернет ИП Садековой Сары Асиятовны использует cookie-файлы - небольшие текстовые файлы, которые хранятся на устройстве Пользователя и помогают улучшить работу сервиса.
Cookie-файлы позволяют запоминать предпочтения Пользователя, анализировать посещаемость сайта и показывать релевантную информацию.
11.2. Пользователь может в любой момент отключить cookie-файлы через настройки браузера.
Важно: отключение необходимых cookie-файлов может привести к некорректной работе сайта.
11.3. Если Пользователем дано согласие на сбор cookie-файлов с помощью сервиса веб-аналитики Яндекс.Метрика, это означает, что Пользователь также дает согласие на передачу указанных данных компании Яндекс: ООО «Яндекс», ОГРН 1027700229193, адрес: 119021, Россия, Москва, ул. Льва Толстого, д. 16, для обработки данных Яндексом в порядке и целях, указанных ниже.
11.4. Собранная при помощи cookie-файлов информация не позволяет идентифицировать Пользователя, однако может помочь Оператору улучшить работу сайта.
Информация об использовании сайта, собранная при помощи cookie-файлов, будет передаваться Яндексу и храниться на сервере Яндекса. Яндекс будет обрабатывать эту информацию для оценки использования сайта, составления для Оператора отчетов о деятельности сайта и предоставления других услуг.
Яндекс обрабатывает эту информацию в порядке, установленном условиями использования сервиса Яндекс.Метрика.
11.5. Срок хранения cookie-файлов:

сессионные cookie-файлы удаляются после закрытия браузера;
постоянные cookie-файлы хранятся от 1 месяца до 2 лет, в зависимости от типа cookie-файла.

11.6. Файлы cookie используются в соответствии с Политикой использования файлов cookie.