1 ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящая Политика индивидуального предпринимателя Бабаевой Натальи Анатольевны в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2 Политика действует в отношении всех персональных данных, которые обрабатывает индивидуальный предприниматель Бабаева Наталья Анатольевна (далее - Оператор, ИП Бабаева Н.А.).
1.3 Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных, обеспечения безопасности и конфиденциальности такой информации.
1.4 Неограниченный доступ к Политике обеспечивается посредством публикации на корпоративных ресурсах Оператора и/ или размещения в иных местах, определенных Оператором.
1.5 Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в действующем законодательстве Российской Федерации о персональных данных или в фактических процессах обработки персональных данных Оператором, а также в иных случаях на усмотрение Оператора.

2 ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1 Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
2.2 Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3 Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.4 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, получение, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
2.5 Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.6 Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.7 Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8 Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.9 Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.10 Ответственный за организацию обработки ПДн - лицо, назначенное приказом ИП Бабаевой Н.А. ответственным за организацию обработки персональных данных.
2.11 Федеральный закон № 152-ФЗ - Федеральный закон от 27 июля 2006 года № 152 «О персональных данных».

3 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
- иные нормативные акты Российской Федерации, регулирующие отношения, связанные с обработкой персональных данных.
3.2 Правовым основанием обработки персональных данных также являются:
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласия субъектов персональных данных на обработку их персональных данных.

4 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, установленных законодательством РФ в области персональных данных.
4.2 Обработка персональных данных Оператором допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных (или его представителя) на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- в иных случаях, допустимых в соответствии с законодательством о персональных данных.

5 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется в следующих целях:
5.1 Обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора.
5.2 Осуществления прав и обязанностей, возложенных действующим законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных в Федеральную налоговую службу, в Социальный фонд Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные органы власти.
5.3 В целях, определенных в настоящей Политике.
5.3.1. Взаимодействие с контрагентом по договору, заключенному между Оператором и контрагентом Оператора, проверка стандартов качества оказания услуг и выполнения услуг по договору, администрирование договора.
5.3.2. Предоставление ответа на обращение субъекта.
5.3.3. Предоставление обратной связи, включая направление запросов, касающихся использования Сайта.
5.3.4. Выбор и покупка определенного Тарифа продукции.
5.3.5. Размещение отзывов пользователей на Сайте.
5.3.6. Информирование о запуске новой продукции.
5.3.7. Рассылка на почту, о запуске новой продукции.
5.3.8. Предоставление доступа к закрытой части сайта и материалов продукции, приобретенных пользователем.

6 КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор обрабатывает следующие категорий субъектов персональных данных:
- контрагенты Оператора, работники и представители контрагентов Оператора;
- клиенты Оператора;
- субъекты персональных данных, направившие обращение (жалобу, запрос);
- пользователи интернет-сайта.

7 КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Перечень обрабатываемых персональных данных определяется в соответствии с учетом целей обработки персональных данных, указанных в настоящей Политике, и включает в себя следующие данные:
- фамилия, имя, отчество;
- адрес электронной почты;
- номера телефонов;
- фотографии;
- иные сведения.

8 ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
8.1 Оператор имеет право:
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом № 152-ФЗ или другими федеральными законами;
- поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ.
8.2 Оператор обязан:
- организовывать обработку персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона № 152-ФЗ;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 рабочих дней;
- в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных в установленные законом сроки.

9 ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Федеральным законом № 152-ФЗ;
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10 ТРЕБОВАНИЯ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
10.2 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
10.3 Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
10.4 Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
10.5 Процессы обработки персональных данных
Обработка персональных данных Оператором включает в себя следующие основные действия (операции): сбор, получение, запись, систематизацию, анализ, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, блокирование, удаление, уничтожение персональных данных.
10.6 Получение, сбор персональных данных
При сборе персональных данных Оператор руководствуется следующими правилами:
10.6.1 Персональные данные следует получать лично у субъектов персональных данных или от представителя субъекта персональных данных.
10.6.2 При сборе персональных данных необходимо получать согласие на обработку персональных данных субъекта персональных данных, за исключением случаев, предусмотренных пунктом 4.2 настоящей Политики.
10.7 Хранение персональных данных
10.7.1 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
10.7.2 Персональные данные на бумажных носителях хранятся Оператором в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
10.7.3 Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
10.8 Передача персональных данных
10.8.1 Передача персональных данных третьим лицам возможна в следующих случаях:
- в рамках исполнения требований законодательства;
- передача необходима в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;
- передача необходима для исполнения договора, стороной которого, выгодоприобретателем, поручителем является субъект персональных данных;
- при наличии согласия субъекта персональных данных;
- в иных случаях, предусмотренных законодательством.
10.8.2 Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд Российской Федерации и другие уполномоченные органы исполнительной власти и организации (при необходимости) осуществляется в соответствии с требованиями законодательства Российской Федерации.

11 СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1 Оператор уничтожает персональные данные субъекта персональных данных при наступлении следующих условий и в следующие сроки:
- достижение целей обработки персональных данных или максимальных сроков обработки - в течение 30 (тридцати) календарных дней;
- утрата необходимости в достижении целей обработки персональных данных - в течение 30 (тридцати) календарных дней;
- предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленных целей обработки - в течение 7 (семи) рабочих дней;
- невозможность обеспечения правомерности обработки персональных данных - в течение 10 (десяти) рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных - в течение 30 (тридцати) календарных дней;
- требование субъекта персональных данных о прекращении обработки персональных данных - в течение 10 (десяти) рабочих дней с даты получения такого требования, если обработка осуществляется на основании согласия субъекта персональных данных. Указанный срок может быть продлен не более чем на 5 (пять) рабочих дней в случае направления Оператором субъекту персональных данных мотивированного уведомления с указанием причин продления;
- в отдельных случаях локальными актами Оператора и договором с субъектом персональных данных могут быть предусмотрены иные сроки.
11.2 Уничтожение персональных данных осуществляет Ответственный за организацию обработки персональных данных.
11.3 Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.

12 РАССМОТРЕНИЕ ОБРАЩЕНИЙ (ЗАПРОСОВ) СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1 Субъект персональных данных или его законный представитель в целях реализации прав, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», вправе:
- направить письменный запрос на адрес 143403, Московская область, г. Красногорск, ул. Дежнева, д. 10, кв. 22;
- направить запрос по электронной почте info@changerschool.ru.
12.2 При получении запроса или обращении субъекта персональных данных, Оператор обязан зафиксировать факт такого обращения в журнале учёта обращений субъектов персональных данных.
12.3 Обращения и запросы субъектов персональных данных или их законных представителей обрабатываются лицом, ответственным за организацию обработки персональных данных, или иным уполномоченным лицом Оператора.
12.4 Оператор обязуется в течение 10 (десяти) рабочих дней с даты получения соответствующего запроса (срок может быть продлен Оператором не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин):
12.4.1. безвозмездно предоставить субъекту персональных данных или его законному представителю запрашиваемую информацию, либо дать мотивированный ответ об отказе в предоставлении запрашиваемой информации;
12.4.2. уведомить субъекта персональных данных или его законного представителя о внесенных изменениях и предпринятых мерах;
12.4.3. уведомить субъекта персональных данных или его законного представителя об устранении допущенных нарушений или об уничтожении персональных данных, в случае выявления неправомерной обработки персональных данных.
12.5 Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
12.6 Информация, касающаяся обработки персональных данных субъекта персональных данных, предоставляется субъекту персональных данных в доступной форме и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Информация также предоставляется в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

13 ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1 Оператор и иные лица, обладающие правом доступа к персональным данным (в рамках выполнения должностных обязанностей или в рамках договора), обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено соответствующим федеральным законом.
13.2 Для обеспечения выполнения Оператором обязанностей, предусмотренных Федеральным законом № 152-ФЗ, и защиты персональных данных от неправомочных действий, Оператор применяет в том числе следующие организационные меры:
- назначается лицо, ответственное за организацию обработки персональных данных;
- издаются Политика в отношении обработки персональных данных и иные локальные акты по вопросам обработки персональных данных, а также внутренние нормативные документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
- осуществляется внутренний контроль и аудит соответствия обработки персональных данных законодательству РФ, требованиям к защите персональных данных, Политике Оператора в отношении обработки персональных данных, внутренним нормативным документам Оператора;
- осуществляется оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношения указанного вреда и принимаемых Оператором мер;
- осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политикой, внутренними нормативными документами по вопросам обработки персональных данных, и обучение указанных работников (при наличии);
- своевременно выявляются нарушения работниками Оператора требований к обеспечению конфиденциальности персональных данных.
13.3 С целью обеспечения безопасности персональных данных при их обработке Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:
- определяются угрозы безопасности персональных данных при их обработке в ИСПДн;
- применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;
- осуществляется учет машинных носителей персональных данных;
- проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
- обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- устанавливаются правила доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в ИСПДн;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

14 ЗАКЛЮЧИТЕЛЬНАЯ ЧАСТЬ
14.1 Контроль за исполнением требований настоящей Политики осуществляется Ответственным за организацию обработки персональных данных у Оператора.
14.2 Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

Редакция от 27.07.2025 г.