2. Сведения об операторе
Оператор персональных данных: Индивидуальный предприниматель Плаксин Сергей Алексеевич
Сокращенное наименование: бренд СН
ИНН: 370203906717
ОГРН / ОГРНИП: 322370200034610
Адрес: Ивановская область, город Иваново
Сайт: корпоративные сайты и страницы мероприятий Оператора, на которых размещен настоящий документ
Email: для обращений субъектов персональных данных, контактная электронная почта, указанная на сайте Оператора
Ответственный за организацию обработки персональных данных: ИП Плаксин Сергей Алексеевич
Вид предпринимательства: Индивидуальный предприниматель
Основной вид деятельности: 90.01 Деятельность в области исполнительских искусств
Дата регистрации: 11 августа 2022 г.
Регистрирующий орган: Управление Федеральной налоговой службы по Ивановской области
Налоговый орган: Управление ФНС России по Ивановской области

3. Основные понятия
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Оператор — лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных и действия с ними.
Обработка персональных данных — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, блокирование, удаление и уничтожение.
Субъект персональных данных — физическое лицо, к которому относятся персональные данные.
Конфиденциальность персональных данных — обязательное для Оператора и иных лиц требование не раскрывать персональные данные третьим лицам и не распространять их без согласия субъекта или иного законного основания.
Уничтожение персональных данных — действия, после которых становится невозможным восстановить содержание персональных данных в информационной системе и/или на материальном носителе.

4. Принципы обработки персональных данных
Оператор осуществляет обработку персональных данных на основе следующих принципов:
• законность и справедливая основа обработки;
• ограничение обработки достижением конкретных, заранее определенных и законных целей;
• недопущение обработки, несовместимой с целями сбора персональных данных;
• соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
• недопущение обработки избыточных персональных данных;
• обеспечение точности, достаточности и актуальности персональных данных;
• хранение персональных данных не дольше, чем этого требуют цели обработки и обязательные сроки хранения;
• уничтожение или обезличивание персональных данных после достижения целей обработки или утраты необходимости в их достижении, если иное не предусмотрено законом.

Категории субъектов персональных данных:
контрагенты
• представители контрагентов
• клиенты
• посетители сайта
• выгодоприобретатели по договорам

Перечень обрабатываемых персональных данных:
• фамилия, имя, отчество
• год рождения
• месяц рождения
• дата рождения
• данные документа, удостоверяющего личность
• ИНН
• номер телефона
• адрес места жительства
• адрес регистрации
• пол
• адрес электронной почты
• реквизиты банковской карты
• номер расчетного счета
• номер лицевого счета

Правовое основание обработки:
• согласие субъекта персональных данных на обработку его персональных данных;
• договор с субъектом персональных данных или действия, необходимые для заключения договора, если обработка связана с оказанием услуги или исполнением заказа;
• законные обязанности Оператора в части расчетов, бухгалтерского и налогового учета — если применимо.
Перечень действий с персональными данными:
• сбор
• запись
• систематизация
• накопление
• хранение
• уточнение (обновление, изменение)
• извлечение
• использование
• передача (предоставление, доступ)
• блокирование
• удаление
• уничтожение

Способы обработки персональных данных:
• смешанная обработка
• обработка с передачей по внутренней сети юридического лица
• обработка с передачей по сети Интернет

Примечания к цели обработки:
• Для прямых рекламных контактов с помощью средств связи Оператор получает отдельное согласие на рекламно-информационные сообщения.
• Банковские реквизиты и данные платежных инструментов обрабатываются только в объеме, необходимом для оплаты, возврата, подтверждения платежа или исполнения договора.

• физические лица — самозанятые, состоящие в договорных и иных гражданско-правовых отношениях с Оператором;
• представители юридических лиц — подрядных организаций;
• физические лица, привлекаемые подрядными организациями к исполнению услуг, если их персональные данные передаются Оператору для организации оказания услуг;
• иные лица, участвующие в исполнении гражданско-правовых договоров.

Перечень обрабатываемых персональных данных:
• фамилия, имя, отчество
• год рождения
• месяц рождения
• дата рождения
• место рождения
• пол
• адрес электронной почты
• адрес места жительства
• адрес регистрации
• номер телефона
• СНИЛС
• ИНН
• гражданство
• данные документа, удостоверяющего личность
• реквизиты банковской карты
• номер расчетного счета
• номер лицевого счета

Правовое основание обработки:
• согласие субъекта персональных данных на обработку его персональных данных;
• заключение и исполнение договора, стороной которого является субъект персональных данных, либо договора, по которому субъект является представителем или контактным лицом;
• исполнение обязанностей Оператора по бухгалтерскому, налоговому и иному обязательному учету — если применимо.

Перечень действий с персональными данными:
• сбор
• запись
• систематизация
• накопление
• хранение
• уточнение (обновление, изменение)
• извлечение
• использование
• передача (предоставление, доступ)
• блокирование
• удаление
• уничтожение

Способы обработки персональных данных:
• смешанная обработка
• обработка с передачей по внутренней сети юридического лица
• обработка с передачей по сети Интернет

Примечания к цели обработки:
• При передаче персональных данных представителей подрядных организаций Оператор обрабатывает только данные, необходимые для связи, проверки полномочий, исполнения договора и оплаты услуг.
• Если подрядчик самостоятельно передает Оператору данные третьих лиц, подрядчик обязан обеспечить наличие законного основания для такой передачи.

Цель №3. Оформление трудовых отношений, ведение кадрового, бухгалтерского, налогового и воинского учета, начисление и выплата заработной платы и иных выплат, обеспечение трудовых прав и обязанностей работников СН
Категории субъектов персональных данных:
• работники Оператора;
• бывшие работники Оператора;
• кандидаты на трудоустройство;
• родственники работников и иные лица, сведения о которых предоставляются работником для оформления гарантий, льгот, выплат, налоговых вычетов, кадрового и бухгалтерского учета;
• лица, работающие по гражданско-правовым договорам, если фактическая цель обработки связана с учетом выполнения работ и выплат.

Перечень обрабатываемых персональных данных:
• фамилия, имя, отчество
• дата, месяц, год и место рождения
• пол
• гражданство
• данные документа, удостоверяющего личность
• адрес места жительства и адрес регистрации
• номер телефона
• адрес электронной почты
• СНИЛС
• ИНН
• сведения об образовании, квалификации, профессии, должности, трудовой деятельности и стаже
• сведения о заработной плате, выплатах, удержаниях, банковских реквизитах для перечисления выплат
• сведения о семейном положении, детях и иных иждивенцах — в случаях, когда это необходимо для предоставления гарантий, льгот, вычетов или исполнения закона
• сведения воинского учета — если применимо
• сведения о больничных листах, медицинских осмотрах, ограничениях труда и иных данных о здоровье — только в случаях, предусмотренных законодательством Российской Федерации
• фотография, пропускные данные, учетные записи в корпоративных системах — если применимо для пропускного режима, идентификации и организации работы

Правовое основание обработки:
• Трудовой кодекс Российской Федерации и иные нормативные правовые акты, регулирующие трудовые отношения;
• Налоговый кодекс Российской Федерации, законодательство о бухгалтерском учете, страховых взносах, пенсионном, социальном и медицинском страховании;
• согласие субъекта персональных данных — в случаях, когда закон требует получения согласия или когда обработка выходит за пределы обязательной обработки по трудовому законодательству;
• договор с субъектом персональных данных — если применимо.

Перечень действий с персональными данными:
• сбор
• запись
• систематизация
• накопление
• хранение
• уточнение (обновление, изменение)
• извлечение
• использование
• передача (предоставление, доступ)
• блокирование
• удаление
• уничтожение

Способы обработки персональных данных:
• смешанная обработка
• обработка с передачей по внутренней сети юридического лица
• обработка с передачей по сети Интернет

Примечания к цели обработки:
• Персональные данные работников должны, как правило, получаться у самого работника. Получение данных у третьих лиц допускается при наличии законного основания и предварительного уведомления/согласия в случаях, предусмотренных законом.
• Персональные данные работников не передаются в коммерческих целях без письменного согласия работника.
• Специальные категории персональных данных работников обрабатываются только в случаях, предусмотренных законом, либо при наличии надлежащего согласия, если оно требуется.

Категории субъектов персональных данных:
• посетители сайта
• пользователи форм обратной связи
• пользователи, взаимодействующие с виджетами, формами, мессенджерами и иными сервисами сайта

Перечень обрабатываемых персональных данных:
• IP-адрес
• cookie-идентификаторы
• сведения о браузере, устройстве и операционной системе
• дата и время посещения сайта
• адреса просмотренных страниц
• источник перехода на сайт
• действия пользователя на сайте
• данные, введенные пользователем в формы сайта

Правовое основание обработки:
• согласие субъекта персональных данных, выраженное через настройки браузера, cookie-баннер, чекбокс формы или иное активное действие;
• необходимость обработки для корректной работы сайта и обработки обращения пользователя — в пределах применимого законодательства.

Перечень действий с персональными данными:
• сбор
• запись
• систематизация
• накопление
• хранение
• уточнение (обновление, изменение)
• извлечение
• использование
• передача (предоставление, доступ)
• блокирование
• удаление
• уничтожение

Способы обработки персональных данных:
• смешанная обработка
• обработка с передачей по внутренней сети юридического лица
• обработка с передачей по сети Интернет

Примечания к цели обработки:
• На сайте используются фактические сторонние сервисы: хостинг и конструктор сайтов от Т-Банка, уведомления о заявках в Telegram, счетчики Яндекс Метрики, а также переход на билетный сервис QTickets для приобретения билетов на мероприятия.
• Пользователь может ограничить использование cookies в настройках браузера, при этом отдельные функции сайта могут работать некорректно.

6.1. Оператор обрабатывает персональные данные при наличии хотя бы одного из следующих условий:
• получено согласие субъекта персональных данных;
• обработка необходима для заключения или исполнения договора, стороной которого является субъект персональных данных;
• обработка необходима для исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации;
• обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что этим не нарушаются права и свободы субъекта персональных данных;
• обработка осуществляется в иных случаях, предусмотренных законодательством Российской Федерации.

6.2. Оператор не обрабатывает персональные данные, избыточные по отношению к заявленным целям обработки.

6.3. Оператор не принимает решений, порождающих юридические последствия для субъекта персональных данных или иным образом затрагивающих его права и законные интересы, исключительно на основании автоматизированной обработки персональных данных, если иное прямо не предусмотрено законодательством Российской Федерации или отдельным согласием субъекта.

7.1. При заполнении форм на сайте субъект персональных данных самостоятельно предоставляет Оператору сведения, необходимые для обратной связи, обработки заявки, заключения договора или оказания услуги.

7.2. Под каждой формой сайта, через которую собираются персональные данные, Оператор размещает чекбокс согласия на обработку персональных данных и ссылку на настоящую Политику.

7.3. Для рекламных и информационных рассылок Оператор использует отдельное согласие, не объединенное с согласием на обработку данных для обработки заявки или заключения договора.

7.4. На сайте используются cookies и счетчики Яндекс Метрики. Пользователь уведомляется об использовании cookies и сервисов аналитики в интерфейсе сайта и/или в настоящей Политике.

7.5. Сайт Оператора размещается и/или создается с использованием хостинга и конструктора сайтов от Т-Банка. Данный сервис может обеспечивать техническую работу сайта, обработку форм, хранение технических данных и передачу Оператору сведений, указанных пользователем на сайте.

7.6. При поступлении заявки с сайта уведомление о заявке может направляться Оператору в Telegram. В такое уведомление могут включаться сведения, которые пользователь указал в форме заявки, в объеме, необходимом для оперативной обработки обращения.

7.7. На сайте используются счетчики Яндекс Метрики для анализа посещаемости сайта, оценки действий пользователей, улучшения сайта, товаров, работ, услуг и рекламно-информационных материалов. При использовании Яндекс Метрики могут обрабатываться cookies, IP-адрес, сведения о браузере, устройстве, источнике перехода и действиях пользователя на сайте.

7.8. С сайта пользователь может перейти на сервис QTickets для приобретения билетов на мероприятия Оператора. На стороне QTickets пользователь самостоятельно указывает данные, необходимые для оформления и оплаты билета. Оператор может получать от QTickets данные о заказе, билете и посетителе в объеме, необходимом для организации мероприятия, контроля посещения, исполнения договора и обратной связи.

8.1. Оператор вправе поручить обработку персональных данных третьему лицу на основании договора или иного законного основания. Лицо, осуществляющее обработку по поручению Оператора, обязуется соблюдать принципы и правила обработки персональных данных, обеспечивать конфиденциальность и безопасность персональных данных.

8.2. Передача персональных данных допускается только в объеме, необходимом для достижения целей обработки, исполнения договора, обработки заявки, организации мероприятия, оплаты услуг, направления уведомлений, аналитики сайта или исполнения требований законодательства Российской Федерации.

8.3. Категории возможных получателей персональных данных: банки, платежные агрегаторы и операторы платежной инфраструктуры; поставщики хостинга, доменных услуг, сервисов аналитики, мессенджеров, облачных сервисов и технической поддержки; билетные сервисы; бухгалтерские, юридические, кадровые, налоговые и иные консультанты; подрядчики и партнеры, участвующие в оказании услуг и организации мероприятий; государственные органы, суды, нотариусы, фонды, банки и иные лица в случаях, предусмотренных законодательством Российской Федерации.

8.4. На дату утверждения настоящей Политики Оператор использует следующие сервисы и получателей персональных данных:

Размещение сайта, работа форм обратной связи, техническое обеспечение функционирования сайта.

Данные, указанные пользователем в формах сайта; технические данные, cookies и иные сведения в объеме, необходимом для работы сайта.

Telegram

Направление Оператору уведомлений о поступившей заявке с сайта и оперативная обработка обращения.

Сведения из формы заявки в объеме, необходимом для обработки обращения, включая ФИО, телефон, email и комментарий, если пользователь указал такие данные.

Анализ посещаемости сайта, оценка действий пользователей, улучшение сайта, товаров, работ, услуг и рекламно-информационных материалов.

Cookie-идентификаторы, IP-адрес, сведения о браузере, устройстве, источнике перехода и действиях пользователя на сайте.

QTickets

Переход пользователя с сайта на билетный сервис для приобретения билетов на мероприятия Оператора; оформление билетов, оплата, контроль посещения мероприятия.

Данные, которые пользователь самостоятельно передает QTickets при покупке билета; данные о заказе, билете и посетителе в объеме, получаемом Оператором для организации мероприятия.

8.5. При переходе пользователя на внешний сервис QTickets обработка персональных данных на стороне QTickets может регулироваться документами и правилами соответствующего сервиса. Оператор обрабатывает только те сведения, которые получает от пользователя или от QTickets в связи с организацией мероприятия и исполнением обязательств перед пользователем.

8.6. Перечень сервисов и получателей персональных данных может изменяться при изменении фактических процессов Оператора. Новая редакция Политики размещается на сайте Оператора.

9.1. При сборе персональных данных граждан Российской Федерации Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации, если иное не предусмотрено законодательством Российской Федерации.

9.2. Трансграничная передача персональных данных не осуществляется, если иное не указано в настоящей Политике, согласии субъекта персональных данных, договоре с субъектом или отдельном уведомлении Оператора.

9.3. Если Оператор использует сервисы, инфраструктура которых находится за пределами Российской Федерации, Оператор до начала такой передачи выполняет необходимые действия, предусмотренные законодательством Российской Федерации, включая оценку соблюдения прав субъектов персональных данных и направление уведомлений в уполномоченный орган в случаях, когда это требуется.
Фактические страны трансграничной передачи и иностранные получатели: при использовании Telegram отдельные технические операции могут осуществляться с применением инфраструктуры иностранного сервиса Telegram. Передача осуществляется только в объеме, необходимом для уведомления Оператора о поступившей заявке и обработки обращения. Иная трансграничная передача Оператором не осуществляется, если иное прямо не предусмотрено отдельным согласием, договором или документами внешнего сервиса, на который пользователь переходит самостоятельно.

10.1. Оператор хранит персональные данные не дольше, чем этого требуют цели обработки, условия договора с субъектом персональных данных, сроки хранения бухгалтерских, налоговых, кадровых и иных документов, сроки исковой давности и иные обязательные сроки, установленные законодательством Российской Федерации.

10.2. Персональные данные клиентов и контрагентов хранятся в течение срока действия договора, срока обработки обращения, срока исполнения обязательств, а также в течение обязательных сроков хранения документов и сроков защиты прав Оператора.

10.3. Персональные данные работников и бывших работников хранятся в сроки, установленные трудовым, архивным, бухгалтерским, налоговым и иным законодательством Российской Федерации.

10.4. Персональные данные, обрабатываемые на основании согласия, прекращают обрабатываться после отзыва согласия, если отсутствуют иные законные основания для продолжения обработки.

10.5. Срок и условия прекращения:
1) истечении срока, предусмотренного законом, договором, или согласием субъекта ПДн на обработку его ПДн;
2) достижении целей обработки ПДн;
3) в связи с отзывом субъектом ПДн согласия на обработку его ПДн и при отсутствии иных правовых оснований на обработку, предусмотренных законодательством;
4) ликвидации организации»

Субъект персональных данных имеет право:
• получать сведения об обработке своих персональных данных, включая подтверждение факта обработки, правовые основания, цели, способы обработки, состав обрабатываемых данных и сведения о лицах, которым данные раскрываются;
• требовать уточнения, блокирования или уничтожения персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать согласие на обработку персональных данных;
• отказаться от получения рекламных и информационных сообщений;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд;
• осуществлять иные права, предусмотренные законодательством Российской Федерации.

12.1. Для реализации своих прав субъект персональных данных может направить Оператору обращение по адресу: Ивановская область, город Иваново, либо на контактную электронную почту, указанную на сайте Оператора.

12.2. Обращение должно содержать сведения, позволяющие идентифицировать субъекта персональных данных и суть требования. Рекомендуется указать ФИО, контактные данные, описание требования, дату направления обращения и подпись при направлении обращения на бумаге.

12.3. Оператор рассматривает обращения субъектов персональных данных в сроки, установленные законодательством Российской Федерации.

12.4. Если обращение связано с данными, размещенными или переданными через конкретную форму сайта, рекомендуется указать дату обращения, email, номер телефона или иной идентификатор, который пользователь использовал при заполнении формы.

13. Меры по обеспечению безопасности персональных данных
• утверждены документы, определяющие политику оператора в отношении обработки персональных данных (Положение об обработке персональных данных, приказы о назначении ответственного за обработку персональных данных) и определяющие для каждой цели обработки состав обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки и хранения, порядок уничтожения персональных данных;
• назначен ответственный за организацию обработки персональных данных - ИП Плаксин Сергей Алексеевич;
• разграничены права доступа к материальным носителям персональных данных и персональным данным, обрабатываемым в информационной системе персональных данных;
• работники, получившие допуск к обработке персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

• на корпоративных сайтах размещены документ, определяющие политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных, данных;
• осуществляется внутренний контроль и аудит соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
учет машинных носителей персональных данных;
• обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• регламентация процедур получения, обработки и передачи персональных данных

Средство обеспечения безопасности (технические)
Применяются антивирусное ПО - Kaspersky Premium (26.0.0.150d), парольная защита файлов, ограничение доступа сотрудников, резервное копирование, защищённое соединение https для сайтов

14.1. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, если такая обработка прямо не требуется законодательством Российской Федерации или отдельным письменным согласием субъекта персональных данных.

14.2. Данные о здоровье работников могут обрабатываться только в случаях, когда такая обработка необходима для исполнения требований трудового законодательства, обязательных медицинских осмотров, оформления больничных листов, предоставления гарантий и компенсаций либо в иных случаях, предусмотренных законом.

14.3. Оператор не обрабатывает биометрические персональные данные, если иное прямо не указано в отдельном согласии субъекта персональных данных и локальных документах Оператора. Использование фотографий работников, подрядчиков или участников мероприятий для идентификации, пропускного режима, публикаций или продвижения должно регулироваться отдельным согласием, когда это требуется законом.

15.1. При достижении целей обработки, истечении срока хранения, отзыве согласия или выявлении неправомерной обработки Оператор прекращает обработку персональных данных, блокирует, уничтожает или обеспечивает уничтожение персональных данных в случаях и порядке, предусмотренных законодательством Российской Федерации.

15.2. Уничтожение персональных данных подтверждается актом, записью в журнале, отчетом информационной системы или иным способом, позволяющим подтвердить факт уничтожения, если такая фиксация требуется внутренними процедурами Оператора или законодательством.

15.3. Обезличивание персональных данных может применяться Оператором для статистики, аналитики, отчетности и иных целей, если после обезличивания невозможно определить принадлежность данных конкретному субъекту без использования дополнительной информации.

16.1. Настоящая Политика размещается на сайте Оператора на странице, с которой пользователь переходит к настоящему документу, а также может размещаться на иных корпоративных сайтах и страницах мероприятий Оператора.

16.2. Оператор вправе изменять Политику при изменении законодательства, целей обработки, состава персональных данных, используемых сервисов, процессов обработки или организационной структуры Оператора.

16.3. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не указано в новой редакции Политики.

16.4. Рекомендуется хранить архив предыдущих редакций Политики, чтобы подтверждать содержание документа, действовавшего на дату получения согласия или обработки персональных данных.

17. Нормативная база, учтенная при подготовке Политики
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Трудовой кодекс Российской Федерации, глава 14 «Защита персональных данных работника»;
• Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 о требованиях к защите персональных данных при их обработке в информационных системах персональных данных;
• Приказы и разъяснения уполномоченных органов в части защиты, обезличивания, уведомления об обработке персональных данных и исполнения прав субъектов персональных данных.