Политика обработки персональных данных

1. Цель и область применения Политики

1.1. Настоящая Политика ИП Мардамшина Н.Р. (далее — ИП) в области обработки и защиты персональных данных разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, и в целях эффективной организации мероприятий по защите и регламентации обработки персональных данных субъектов ИП, исполнителей работ по договорам, заключенным с физическими и юридическими лицами, а также устанавливает правила работы с персональными данными по поручениям на обработку персональных данных.

1.2. ИП является оператором персональных данных и внесён в реестр операторов, осуществляющих обработку персональных данных.

1.3. Обязанности по организации обработки персональных данных ИП возлагает на ответственное лицо, назначенное приказом (ответственный за организацию обработки персональных данных).

1.4. Политика декларирует соответствие ИП требованиям законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.

1.5. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским Кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», 152-ФЗ, Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативно-методическими документами Федеральной службы по техническому и экспортному контролю Российской Федерации в сфере обработки персональных данных.

1.6. Требования настоящей Политики являются обязательными для исполнения ИП и третьими лицами, представляющими интересы ИП.

2. Основные термины и сокращения

2.1. В настоящей Политике применяются следующие основные понятия:

персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому Пользователю (субъекту персональных данных);

субъект персональных данных (Пользователь) — физическое лицо (его законный представитель), оставившее заявку через форму на Сайте либо вступившее в договорные отношения с ИП;

Сайт — информационный ресурс Forge, принадлежащий ИП, расположенный по адресу https://forge-ai.io, посредством которого Пользователь может направить заявку на консультацию и внедрение AI-решений в бизнес;

оператор персональных данных (Оператор) — ИП, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Общие положения

3.1. В соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 г. «О персональных данных» Политика должна быть доступна для ознакомления всем субъектам, доверяющим ИП обработку своих персональных данных.

3.2. Назначением Политики является:

• обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
• чёткое и неукоснительное соблюдение требований законодательства Российской Федерации в области персональных данных;
• исключение несанкционированных действий любых третьих лиц по Обработке;
• предотвращение возникновения возможной угрозы безопасности Пользователей.

3.3. Политика действует в отношении всех персональных данных, которые ИП может получить от Пользователей или с согласия Пользователей от третьих лиц.

4. Правовые основания обработки

4.1. Правовые основания Обработки:

• Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью ИП;
• договоры, заключаемые между ИП и третьими лицами;
• договоры, заключаемые между ИП и субъектами персональных данных;
• поручение третьих лиц ИП по обработке персональных данных субъектов персональных данных;
• согласие субъектов на обработку персональных данных.

5. Перечень обрабатываемых персональных данных и цели обработки

5.1. Персональные данные Пользователей, которые ИП обрабатывает через Сайт:

• имя;
• наименование компании (организации), которую представляет Пользователь;
• контактные данные: идентификатор в мессенджере Telegram и/или номер мобильного телефона;
• описание задачи и иные сведения, добровольно сообщённые Пользователем в свободной форме при заполнении заявки.

5.2. ИП не запрашивает и не обрабатывает через Сайт: паспортные данные, реквизиты банковских карт, номера расчётных и лицевых счетов, сведения о состоянии здоровья, биометрические данные, специальные категории персональных данных.

5.3. ИП обрабатывает персональные данные в целях:

5.4. При достижении цели обработки или иных законных оснований, Персональные данные уничтожаются путём удаления из информационных систем ИП с помощью встроенных средств информационных систем с последующим составлением акта об их уничтожении.

6. Обработка персональных данных

6.1. ИП осуществляет обработку персональных данных:

• с использованием средств автоматизации;
• исключительно на должным образом защищённых электронных носителях информации;
• с использованием баз данных, функционирующих на территории Российской Федерации;
• в объёме, соответствующем целям обработки персональных данных;
• не дольше чем это требуют цели обработки персональных данных или законодательство Российской Федерации.

6.2. ИП не распространяет и не предоставляет персональные данные третьим лицам без согласия Пользователя, за исключением следующих случаев:

• при передаче третьим лицам в целях исполнения договоров с Пользователями;
• по мотивированному запросу судебных органов, органов государственной безопасности, прокуратуры, полиции, в иные органы и организации в случаях, установленных Законодательством Российской Федерации.

6.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 г., договором, стороной которого, выгодоприобретателем или поручителем, по которому, является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, либо при получении уведомления от субъекта персональных данных о прекращении обработки его персональных данных в срок не более 10 (десяти) рабочих дней с момента поступления обращения, если иное не предусмотрено федеральными законами.

6.4. ИП уничтожает персональные данные в следующих случаях:

• достижение цели обработки персональных данных и истечение срока хранения персональных данных, установленного законодательством Российской Федерации;
• истечение срока действия согласия Пользователя на Обработку его персональных данных;
• отзыв согласия Пользователя на Обработку его персональных данных (см. раздел 8).

7. Меры по обеспечению защиты персональных данных

7.1. ИП обязан соблюдать требования статьи 18.1 и статьи 19 Федерального закона № 152-ФЗ от 27.07.2006 г. и несёт полную ответственность за несоблюдение требований.

7.2. Пользователям рекомендуется:

• не сообщать устно или письменно, не передавать в каком-либо виде третьим лицам и не раскрывать публично персональные данные без соответствующего согласия;
• знать и выполнять требования законодательных актов Российской Федерации и настоящей Политики;
• выполнять только те процедуры передачи персональных данных, которые требуются для достижения цели;
• знать и соблюдать установленные требования обработки персональных данных, учёту, хранению и пересылке носителей информации, обеспечению безопасности персональных данных;
• уведомлять ИП о предпосылках и непосредственно утечках персональных данных.

В случае самостоятельного распространения своих персональных данных или персональных данных третьих лиц другим операторам персональных данных или третьим лицам, ИП за данный факт обработки ответственность не несёт в соответствии с законодательством Российской Федерации.

7.3. ИП обеспечивает реализацию правовых, организационных и технических мер, необходимых и достаточных для обеспечения защиты персональных данных:

Правовые меры:

• разработка ИП локальных документов, реализующих требования законодательства Российской Федерации, в том числе — Политики и размещение её на Сайте по адресу https://forge-ai.io и на страницах сбора персональных данных;
• отказ от любых способов Обработки, не соответствующих целям, заранее предопределённым ИП.

Организационные меры:

• назначение лица, ответственного за организацию Обработки;
• ограничение третьих лиц, представляющих интересы ИП, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
• инструктаж и ознакомление третьих лиц, действующих в интересах ИП, осуществляющих Обработку, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с локальными актами ИП, регламентирующими порядок работы и защиты персональных данных;
• периодическая оценка рисков, касающихся процесса Обработки;
• проведение периодических проверок в целях осуществления внутреннего контроля соответствия Обработки требованиям законодательства Российской Федерации.

Технические меры:

• предотвращение, в том числе путём проведения внутренних расследований, несанкционированного доступа к системам, в которых хранятся персональные данные, с последующим уведомлением в Роскомнадзор о факте утечки в течение 24 часов с момента происшествия (первичные данные: о предполагаемых причинах; о предполагаемом вреде правам субъектов ПДн; о принятых мерах по устранению последствий утечки; о представителе ИП, уполномоченном на взаимодействие с Роскомнадзором). В течение 72 часов — итоговые данные о результатах внутреннего расследования утечки и о лицах, действия которых привели к утечке (если такие лица есть);
• передача сведений о компьютерных инцидентах, которые привели к неправомерной передаче ПДн, в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);
• резервирование и восстановление персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных;
• иные необходимые меры безопасности, в соответствии со статьями 18.1 и 19 Федерального закона № 152-ФЗ от 27.07.2006 г.

8. Обращения Пользователя

8.1. Пользователь или его законный представитель вправе направить ИП свои обращения/запросы, в том числе относительно Обработки, отозвать согласие на Обработку в форме электронного документа или скан-копии в электронном формате по адресу электронной почты: nail.mardamshin@gmail.com.

8.2. К запросам в форме электронного документа относятся обращения/запросы (электронные документы), направленные на электронный адрес ИП и подписанные электронной подписью в соответствии с законодательством Российской Федерации, или скан-копия собственноручно подписанного обращения/запроса.

8.3. Запрос должен содержать следующую информацию:

• сведения о документе, удостоверяющем личность Пользователя;
• сведения, подтверждающие участие Пользователя в отношениях с ИП или третьими лицами (имя, номер телефона, адрес электронной почты, указанные при использовании Сайта);
• данные представителя и подтверждение его полномочий (при обращении представителя);
• подпись Пользователя (представителя).

8.4. ИП обязуется рассмотреть и направить ответ на поступивший запрос в течение 10 (десяти) рабочих дней с момента поступления обращения. Ответ отправляется субъекту персональных данных в письменном виде по адресу, указанному в обращении, вне зависимости от формы запроса.

8.5. Все обращения/запросы, полученные ИП в письменной или электронной форме, относятся к конфиденциальной информации и не распространяются без согласия Пользователя, за исключением случаев, когда ИП поручает обработку персональных данных другим операторам для исполнения договора между ИП и Пользователем.

8.6. ИП вправе вносить изменения в Политику. Новая редакция Политики вступает в силу с момента её публикации на Сайте.

9. Использование файлов cookies и метрических сервисов

9.1. Сайт использует файлы cookies (небольшие текстовые файлы, сохраняемые браузером Пользователя) и аналогичные технологии (локальное хранилище браузера, идентификаторы сеанса) для обеспечения работы Сайта, повышения удобства использования и анализа поведения Пользователей.

9.2. Сайт использует следующие категории cookies:

Технические (строго необходимые). Используются для корректной работы Сайта, обеспечения безопасности и защиты от атак. Устанавливаются автоматически при первом посещении и не требуют отдельного согласия Пользователя. К ним относятся:

• cookies и технические идентификаторы, устанавливаемые платформой хостинга (Vercel Inc., США) для обеспечения доставки контента и защиты от атак;
• запись в локальном хранилище браузера (localStorage) решения Пользователя относительно аналитических cookies — чтобы Сайт не показывал баннер согласия повторно.

Аналитические. Используются для сбора обезличенной статистики о посещаемости и поведении Пользователей на Сайте. Устанавливаются исключительно с согласия Пользователя, выраженного путём нажатия кнопки «Принять» в баннере согласия на использование cookies.

9.3. Для анализа посещаемости и поведения Пользователей Сайт использует сервис Яндекс Метрика, предоставляемый ООО «Яндекс» (адрес: 119021, Россия, г. Москва, ул. Льва Толстого, д. 16). Метрические данные (в том числе данные о посещениях, нажатиях, переходах, технические характеристики устройства и браузера, обезличенный IP-адрес) передаются на серверы ООО «Яндекс», расположенные на территории Российской Федерации, и обрабатываются в соответствии с Политикой конфиденциальности Яндекса и Пользовательским соглашением Яндекс Метрики.

9.4. В рамках Яндекс Метрики Сайт использует технологию «Вебвизор», которая позволяет записывать действия Пользователя на странице (движения курсора, клики, скроллы) для последующего анализа юзабилити. Содержимое полей форм (имя, наименование компании, контактные данные, описание задачи) при записи Вебвизора маскируется и не передаётся в Яндекс Метрику. Запись Вебвизора производится только с согласия Пользователя.

9.5. Согласие Пользователя. При первом посещении Сайта Пользователю показывается баннер, информирующий об использовании cookies и предлагающий принять или отклонить установку аналитических cookies. До получения согласия аналитические сервисы (Яндекс Метрика) не загружаются и не передают никаких данных. Решение Пользователя сохраняется в локальном хранилище браузера и действует до момента его изменения Пользователем или очистки данных браузера.

9.6. Отзыв согласия. Пользователь вправе в любой момент изменить своё решение, нажав ссылку «Управление cookies» в подвале Сайта. После отзыва согласия загрузка Яндекс Метрики и передача данных прекращаются до момента следующего согласия. Дополнительно Пользователь вправе удалить уже установленные cookies через настройки своего браузера или заблокировать их установку в целом (в этом случае отдельные функции Сайта могут работать некорректно).

9.7. ИП не использует cookies для целей рекламного ретаргетинга, передачи данных рекламным сетям, создания рекламных профилей Пользователей и профилирования, влекущего юридически значимые последствия для Пользователя.