ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

      Индивидуального предпринимателя Марковой Яны Алексеевны

1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика) определяет порядок и условия обработки персональных данных Индивидуальным предпринимателем Марковой Яной Алексеевной (ИНН 644923253666, ОГРНИП 323645700093430, адреса места осуществления деятельности: г. Саратов, ул. Пушкина А. С., д. 12/16 и г. Саратов, ул. Б. Казачья, д. 86Б, этаж 2, далее – Оператор), и разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн).
1.2. Политика публикуется в помещениях Салона красоты по указанным адресам и/или на официальном сайте Оператора: https://browhouse64.ru/privacy
1.3. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Основные понятия
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://browhouse64.ru.
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://browhouse64.ru.
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).
2.10. Пользователь — любой посетитель веб-сайта https://browhouse64.ru и адресов мест осуществления деятельности.
2.11. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.
3. Оператор персональных данных
Индивидуальный предприниматель Маркова Яна Алексеевна;
ИНН: 644923253666;
ОГРНИП: 323645700093430;
Юридический адрес: 410033, г. Саратов, ул. 5-я Дачная, д. 70-а, кв. 53;
Адреса мест осуществления деятельности (Салон красоты): 410056, г. Саратов, ул. Пушкина А. С., д. 12/16 и 410012, г. Саратов, ул. Б. Казачья, д. 86Б, этаж 2;
Контактный телефон: +79272239017;
Адрес электронной почты: yash_ka89@mail.ru.
4. Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные в следующих целях:
4.1.1 Заключение и исполнение договора оказания услуг салона красоты с Клиентом;
4.1.2 Организация записи Клиента на услуги (оформление предварительной записи);
4.1.3 Направление Клиенту уведомлений/напоминаний о предстоящей записи (посредством SMS-сообщений, телефонных звонков);
4.1.4 Повышение качества обслуживания Клиентов (включая ведение истории посещений и предпочтений);
4.1.5 Информирование Клиентов о скидках, акциях, специальных предложениях, новостях Салона красоты (маркетинговые рассылки);
4.1.6 Создание и публикация фотографий Клиента «до/после» оказания услуги в маркетинговых целях на основании отдельного письменного согласия клиента;
4.1.7 Выполнение требований законодательства Российской Федерации, в том числе в сфере применения контрольно-кассовой техники (ККТ);
4.1.8 Осуществление трудовых отношений с работниками;
4.1.9 Кадровый учет, ведение кадрового делопроизводства;
4.1.10 Выполнение обязанностей, возложенных на Оператора трудовым, налоговым, пенсионным законодательством РФ;
4.1.11 Воинский учет работников.
5. Правовые основания обработки персональных данных
5.1. Обработка персональных данных Оператором осуществляется на следующих правовых основаниях:
5.1.1 Заключение и исполнение публичного договора оферты с субъектом ПДн (Клиентом) – для целей, указанных в пп. 4.1.1, 4.1.2, 4.1.3, 4.1.4;
5.1.2 Согласие субъекта персональных данных – для целей, указанных в пп. 4.1.5 (маркетинг), 4.1.6 (фото);
5.1.3 Выполнение обязанностей, возложенных законодательством РФ на Оператора – для цели, указанной в п. 4.1.7 (ККТ);
5.1.4 Трудовой кодекс РФ, Федеральные законы от 27.07.2006 № 152-ФЗ «О персональных данных», от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Налоговый кодекс РФ – для целей, указанных в пп. 4.1.8, 4.1.9, 4.1.10, 4.1.11.
6. Категории субъектов персональных данных
6.1. Категории субъектов, персональные данные которых обрабатывает Оператор:
6.1.1 Клиенты Салона красоты (физические лица, пользующиеся или планирующие воспользоваться услугами);
6.1.2 Работники (физические лица, состоящие с Оператором в трудовых отношениях).
7. Перечень обрабатываемых персональных данных
7.1. В зависимости от цели обработки Оператор может обрабатывать следующие персональные данные Клиентов:
7.1.1 Фамилия, имя, отчество (ФИО);
7.1.2 Контактный телефонный номер;
7.1.3 Адрес электронной почты (e-mail);
7.1.4 Дата и время записи на услугу;
7.1.5 История посещений Салона красоты (даты, оказанные услуги);
7.1.6 Дата рождения;
7.1.7 Предпочтения в отношении услуг, процедур, косметических средств;
7.1.8 Фотографическое изображение Клиента (лицо, результаты процедур).
7.2. В зависимости от цели обработки Оператор может обрабатывать следующие персональные данные Работников:
7.2.1 Фамилия, имя, отчество (ФИО);
7.2.2 Дата и место рождения;
7.2.3 Гражданство;
7.2.4 Реквизиты документа, удостоверяющего личность (паспорт);
7.2.5 Адрес регистрации и фактического проживания;
7.2.6 Идентификационный номер налогоплательщика (ИНН);
7.2.7 Страховой номер индивидуального лицевого счета (СНИЛС);
7.2.8 Семейное положение, состав семьи;
7.2.9 Данные об образовании, профессии, специальности;
7.2.10 Данные о трудовом стаже;
7.2.11 Данные о воинском учете;
7.2.12 Контактные данные (телефон, электронная почта);
7.2.13 Данные, необходимые для исчисления и выплаты заработной платы;
7.2.14 Данные, необходимые для обязательного социального, пенсионного и медицинского страхования.
8. Категории лиц, которым могут быть раскрыты персональные данные
8.1. Оператор может передавать персональные данных следующим категориям лиц:
8.1.1 Обработчикам: Лицам, осуществляющим обработку персональных данных по поручению Оператора на основании заключенного договора и только в целях, предусмотренных этим договором и настоящей Политикой. К таким лицам относятся:
8.1.1.1 Операторы систем онлайн-записи (ООО "УАЙКЛАЕНТС", ИНН: 7708274185; Юр. адрес: 127055, гор. Москва, ул. Образцова, д. 4, стр. 1, Эт/Пом 1-5);
8.1.1.2 Хостинг-провайдеры и операторы центров обработки данных (ЦОД), обеспечивающие хранение и обработку ПДн в информационных системах указанных в п. 8.1.1.1 обработчиков;
8.1.1.3 Операторы фискальных данных (ОФД) для выполнения требований законодательства о применении ККТ.
8.1.2 Государственные органы: Только в случаях и порядке, предусмотренных законодательством Российской Федерации (например, по запросу суда, Роскомнадзора, ФНС, Пенсионного фонда РФ, Фонда социального страхования РФ, военных комиссариатов).
9. Сроки обработки (хранения) персональных данных
9.1. Сроки обработки персональных данных определяются следующими критериями:
9.1.1 Для данных, обрабатываемых в целях заключения и исполнения договора (пп. 4.1.1-4.1.4): срок действия договора с Клиентом, а после прекращения договора – 3 (три) года;
9.1.2 Для данных, обрабатываемых на основании согласия субъекта (маркетинг, фото): срок действия согласия – до отзыва согласия субъектом ПДн;
9.1.3 Данные, необходимые для выполнения требований законодательства (ККТ): хранятся в соответствии со сроками, установленными законодательством РФ для хранения первичных учетных документов и фискальных данных (не менее 5 лет);
9.1.4 Данные Работников: срок действия трудового договора, а после его прекращения – в соответствии с требованиями законодательства РФ к хранению отдельных категорий документов (в частности, 50 лет для документов, связанных с работой, 5 лет для документов налогового учета).
9.2. По истечении указанных сроков персональные данные подлежат уничтожению или обезличиванию.
10. Права субъекта персональных данных
10.1. Субъект ПДн (Клиент или Работник) имеет право:
10.1.1 Получать информацию, касающуюся обработки его персональных данных;
10.1.2 Требовать уточнения, блокирования или уничтожения его персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
10.1.3 Отозвать согласие на обработку персональных данных;
10.1.4 Требовать устранения неправомерных действий Оператора в отношении его персональных данных;
10.1.5 Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
10.2. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты yash_ka89@mail.ru или по телефону +79272239017.
11. Требования к защите персональных данных
11.1. Базовый уровень защищенности персональных данных (УЗ-4)
Оператор обрабатывает персональные данные с присвоением информационным системам персональных данных (ИСПДн) 4 (четвертого) уровня защищенности.
11.2. Модель угроз безопасности персональных данных
Для определения угроз безопасности персональных данных применяется Типовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена ФСТЭК России).
11.3. Организационные меры защиты персональных данных:
11.3.1. Назначение ответственного за организацию обработки ПДн (ИП Маркова Я.А.);
11.3.2. Утверждение настоящей Политики и локальных актов по вопросам обработки ПДн;
11.3.3. Ознакомление работников с положениями законодательства о ПДн, настоящей Политикой и иными локальными актами под подпись;
11.3.4. Ограничение и регламентация состава работников, допущенных к обработке ПДн;
11.3.5. Организация и обеспечение пропускного и внутриобъектового режима в помещениях, где осуществляется обработка ПДн;
11.3.6. Ведение журналов учета носителей персональных данных;
11.3.7. Регулярное резервное копирование информационных баз, содержащих ПДн;
11.3.8. Уничтожение (обезличивание) ПДн при достижении целей обработки или при отзыве согласия субъектом ПДн.
11.4. Технические меры защиты персональных данных:
11.4.1. Средства защиты от несанкционированного доступа (НСД):
   - Аутентификация пользователей с использованием уникальных учетных записей и сложных паролей;
   - Регулярная смена паролей;
   - Автоматическое блокирование рабочей станции после 10 минут бездействия;
   - Разграничение прав доступа к информационным ресурсам и базам данных.
11.4.2. Средства защиты информации:
   - Использование лицензионного антивирусного программного обеспечения с регулярным обновлением вирусных баз;
   - Активация штатного межсетевого экрана (брандмауэра) операционной системы;
   - Своевременная установка обновлений безопасности операционных систем и прикладного программного обеспечения.
11.4.3. Средства обеспечения отказоустойчивости:
   - Регулярное резервное копирование данных;
   - Использование источников бесперебойного питания для критически важного оборудования.
11.5. Меры защиты при неавтоматизированной обработке ПДн:
11.5.1. Хранение материальных носителей ПДн (журналов записи, анкет, трудовых договоров) в запирающихся шкафах (сейфах);
11.5.2. Обеспечение сохранности бумажных носителей при работе с ними;
11.5.3. Уничтожение бумажных носителей ПДн с помощью шредера (устройства для уничтожения бумаги);
11.5.4. Ограничение доступа посторонних лиц в помещения, где хранятся материальные носители ПДн.
12. Трансграничная передача персональных данных
12.1. Оператор не осуществляет трансграничную передачу персональных данных Клиентов и Работников на территорию иностранных государств.
13. Заключительные положения
13.1. Настоящая Политика является общедоступным документом.
13.2. Актуальная версия Политики размещена в помещениях Салона красоты по указанным адресам и/или на сайте https://browhouse64.ru/privacy.
13.3. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения в указанных в п. 13.2. местах.