ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика в области обработки и защиты персональных данных в АНО ЕОФ (далее по тексту — Политика):
- разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных;
- раскрывает основные категории субъектов персональных данных, персональные данные которых обрабатываются в АНО ЕОФ (далее по тексту именуется также «Оператор»), цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
- является локальным нормативным актом Оператора и одновременно общедоступным документом, декларирующим концептуальные основы деятельности АНО ЕОФ в области обработки и защиты персональных данных.
2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
- Персональные данные —
- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Оператор —
- государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Обработка персональных данных —
- любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Автоматизированная обработка персональных данных —
- обработка персональных данных с помощью средств вычислительной техники.
- Распространение персональных данных —
- действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
- Предоставление персональных данных —
- действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
- Блокирование персональных данных —
- временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
- Уничтожение персональных данных —
- действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Обезличивание персональных данных —
- действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- Информационная система персональных данных —
- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Трансграничная передача персональных данных —
- передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. ПРАВОВЫЕ ОСНОВАНИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Политика определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации; Гражданский кодекс Российской Федерации;
- Федеральный закон РФ от 27.07.2006 г. №152-ФЗ «О персональных данных»;
- Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон РФ от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования»;
- Федеральный закон от 29.12.2006 г. № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федеральный закон от 29.11.2010 г. № Э26-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 12.04.2010 г. № 61-ФЗ «Об обращении лекарственных средств»;
- Закон РФ от 07.02.1992 г. № 2300-1 «О защите прав потребителей»;
- Федеральный закон от 08.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- иные нормативные правовые акты Российской Федерации.
3.2. Во исполнение настоящей Политики Оператором утверждаются локальные нормативные акты Оператора, касающиеся следующих аспектов обработки и защиты персональных данных:
- положение об обработке и защите персональных данных;
- назначение лица, ответственного за организацию обработки персональных данных и утверждение его должностной инструкции;
- порядок организации работ по обеспечению безопасности персональных данных;
- порядок организация обработки персональных данных в структурных подразделениях Оператора;
- перечень персональных данных, обрабатываемых Оператором;
- назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;
- перечень информационных систем персональных данных Оператора и перечень персональных данных, обрабатываемых в них;
- порядок допуска работников Оператора к обработке персональных данных, а также перечень работников, допущенных к обработке персональных данных, в том числе при обработке персональных данных в информационных системах персональных данных, а также без использования средств автоматизации;
- порядок обработки персональных данных в информационных системах;
- порядок учета, хранения и выдачи материальных носителей персональных данных;
- порядок и требования к обработке персональных данных без использования средств автоматизации;
- порядок доступа работников в помещения, в которых производится обработка персональных данных;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- порядок определения уровня защищенности информационной системы персональных данных;
- порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
- порядок проведения внутренних проверок соответствия обработки персональных данных в структурных подразделениях Оператора требованиям к защите персональных данных;
- порядок обезличивания персональных данных и правил работы с обезличенными персональными данными;
- порядок уничтожения персональных данных и материальных носителей, содержащих персональные данные;
- типовые и рекомендуемые формы документов, используемых при обработке персональных данных.
ОБРАБАТЫВАЕМЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор собирает и обрабатывает персональные данные в объеме и количестве, минимально необходимых для целей их обработки, определенных в пункте 5.4. настоящей Политики.
Подробный перечень персональных данных устанавливается локальными нормативными актами Оператора.
4. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Законность обработки персональных данных
Обработка персональных данных должна осуществляться на законной и справедливой основе, с соблюдением принципов, правил и требований, установленных международными договорами Российской Федерации, Конституцией и федеральными законами Российской Федерации, а также иными нормативными правовыми актами Российской Федерации.
4.2. Согласие субъекта на обработку его персональных данных
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если только право на обработку персональных данных без получения соответствующего согласия субъекта этих данных не установлено федеральным законодательством Российской Федерации или международными договорами Российской Федерации.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на выдачу согласия от имени субъекта персональных данных проверяются Оператором.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
4.3. Законные источники получения Оператором персональных данных
Оператор получает персональные данные у самих субъектов персональных данных. В установленных федеральными законами Российской Федерации случаях Оператор также вправе получать персональные данные из других источников.
Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления этим лицом Оператору подтверждения наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Оператор в том числе вправе обрабатывать персональные данные, полученные от третьего лица, на основании заключаемого с другим оператором договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). В этом случае Оператор не обязан получать согласие субъекта персональных данных на обработку его персональных данных. При этом ответственность перед субъектом персональных данных за действия Оператора (АНО ЕОФ) несет тот оператор, который поручил Оператору обработку персональных данных на основании договора, а Оператор несет ответственность перед оператором, поручившим Оператору (АНО ЕОФ) обработку персональных данных.
Кроме того, в случаях и в порядке, установленных федеральным законодательством, Оператор также вправе обрабатывать персональные данные, полученные от представителя субъекта персональных данных, от наследников субъекта персональных данных, а также из общедоступных источников.
4.4. Цели обработки персональных данных
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Оператор обрабатывает персональные данные в целях достижения следующих целей:
- исполнение Оператором положений нормативных правовых актов, указанных в пункте 3.1 настоящей Политики, иных нормативных правовых актов Российской Федерации, международных договоров Российской Федерации;
- реализация прав, обязанностей и полномочий Оператора (АНО ЕОФ) при осуществлении видов деятельности;
- ведение кадрового учета работников Оператора, начисления им заработной платы и исполнение иных обязанностей Оператора как работодателя;
- выполнение Оператором обязательств по заключенным договорам, в том числе договорам с контрагентами — физическими лицами, включая индивидуальных предпринимателей;
- организация пропускного и внутриобъектового режима на территории Оператора;
- защита жизни, здоровья, имущественных и неимущественных прав и интересов субъекта персональных данных, Оператора или иных лиц;
- иные цели.
4.5. Принцип актуальности, полноты и достоверности персональных данных
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В случаях и в порядке, установленных федеральным законодательством, Оператор должен обеспечить уточнение, блокирование или уничтожение необходимости персональные данные, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
4.6. Принципы обработки биометрических персональных данных
Оператор осуществляет обработку следующих биометрических персональных данных: фотоизображение физического лица, используемое для установления личности этого физического лица, в т.ч. в целях организации пропускного и внутриобъектового режима на территории Оператора, в целях охраны имущественных и неимущественных прав и интересов Оператора и третьих лиц. Оператор обрабатывает биометрические персональные данные в виде фотоизображений физических лиц без использования средств автоматизации.
Оператор также вправе без получения согласия субъекта персональных данных обрабатывать такие персональные данные, как фото- и видео- и иные изображения физических лиц, полученные из открытых источников либо в порядке, предусмотренном подпунктами 1 — 3 пункта 1 статьи 152.1 Гражданского кодекса Российской Федерации, либо в порядке, предусмотренном пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.7. Принципы обработки специальных категорий персональных данных
Оператор вправе осуществлять обработку специальных категорий персональных данных, касающихся состояния здоровья, а также иных специальных категорий персональных данных работников Оператора, соискателей на вакантные должности Оператора, физических лиц-контрагентов, а также иных субъектов персональных данных, исключительно в случаях, предусмотренных частями 2 и 3 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Оператор незамедлительно прекращает обработку специальных категорий персональных данных, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.8. Принципы осуществления трансграничной передачи персональных данных
Оператор вправе осуществлять трансграничную передачу персональных данных на территории иностранных государств, при условии соблюдения требований, установленных статьей 12 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».
5. СВЕДЕНИЯ О ЛИЦАХ, ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных, либо, в установленных законодательством Российской Федерации случаях, без согласия субъектов персональных данных, но с соблюдением прав и законных интересов этих субъектов, Оператор в ходе своей деятельности предоставляет персональные данные следующим лицам:
- Федеральной налоговой службе России;
- Пенсионному фонду России;
- негосударственным пенсионным фондам;
- Фонду социального страхования Российской Федерации;
- банкам и иным кредитным организациям;
- лицам, осуществляющим по поручению Оператора бронирование мест в гостиницах, бронирование или приобретение билетов, оказывающим услуги в области обеспечения соблюдения трудового, миграционного и прочего законодательства, и тому подобные услуги, включая услуги, выгодоприобретателями по которым являются субъекты персональных данных;
- страховым компаниям по добровольному медицинскому страхованию и иным видам страхования, застрахованными лицами или выгодоприобретателями по которым являются субъекты персональных данных;
- лицензирующим и/или контролирующим органам государственной власти и местного самоуправления, органам и организациям, участвующим в предоставлении государственных и муниципальных услуг;
- судам, правоохранительным органам, прокуратуре, органам, осуществляющим исполнительное производство;
- иным лицам, когда это не противоречит законодательству Российской Федерации о персональных данных.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора либо путем принятия государственным или муниципальным органом соответствующего акта.
6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
6.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Обеспечение безопасности персональных данных достигается, в частности:
- назначением лица, ответственного за организацию обработки персональных данных;
- осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным нормативным и распорядительным актам Оператора;
- ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными нормативными актами в отношении обработки персональных данных, и (или) обучением указанных работников;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- учетом машинных носителей персональных данных и мест их хранения;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных;
- другими мерами.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
7.2. Субъект персональных данных вправе требовать от Оператора уточнения, обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
Запрос субъекта персональных данных о предоставлении информации, касающейся обработки его персональных данных, должен содержать обязательные реквизиты, установленные законодательством Российской Федерации о персональных данных, в том числе: номер основного документа, удостоверяющего личность субъекта персональных
данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
7.6. Запросы субъекта персональных данных для получения им сведений о своих персональных данных, ознакомления с ними, для их уточнения, блокирования или уничтожения, исключения их из общедоступных источников, отзыва согласия на их обработку субъект персональных данных должны быть направлены по следующему адресу:
АНО ЕОФ
Адрес: 109428, Россия, Москва г., Вн.Тер.Г. Муниципальный Округ Рязанский, ул. Зарайская, д. 21, этаж, офис 3, 1302, помещ. 304
8.7. Субъект персональных данных вправе защищать свои права и законные интересы в судебном и досудебном порядке, в том числе получать возмещение убытков и (или) компенсацию морального вреда.
8. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Срок обработки персональных данных начинается с момента их получения Оператором.
8.2. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели обработки этих персональных данных.
8.3. Персональные данные работников Оператора, а также, в установленных правом Российской Федерации случаях — родственников работников, используются в течение трудовой деятельности таких работников в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).
8.4. Персональные данные граждан, обратившихся к Оператору в установленном порядке, хранятся в делах структурных подразделений Оператора в течение срока, определённого федеральным законодательством либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а если такой срок не определен, то в течение срока, определенного номенклатурой дел Оператора, но в любом случае не дольше, чем этого требуют цели обработки персональных данных.
9. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.
9.2. Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
9.3. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.
9.4. Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
9.5. Уничтожение персональных данных осуществляется Оператором:
по достижении цели обработки персональных данных;
в случае отсутствия необходимости в достижении целей обработки персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;
по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения Оператором неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
9.6. При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.
10. ОБЯЗАННОСТИ И ПРАВА ОПЕРАТОРА
10.1. Оператор обязан осуществлять обработку персональных данных в строгом соответствии с законодательством Российской Федерации.
10.2. Оператор вправе:
- обрабатывать персональные данные субъекта без согласия последнего, когда это не противоречит законодательству Российской Федерации;
- в случаях и в порядке, предусмотренных законодательством Российской Федерации, получать персональные данные от третьих лиц, в том числе, когда это допустимо, без получения предварительного согласия на это субъекта персональных данных;
- поручать обработку персональных данных или передавать персональные данные третьим лицам, когда это не противоречит законодательству Российской Федерации;
- в случаях, предусмотренных законодательством Российской Федерации, отказывать субъекту персональных данных или иным лицам в предоставлении им персональных данных, а также информации, касающейся обработки персональных данных, в уточнении, блокировании или уничтожении персональных данных или в прекращении их обработки;
- защищать свои права и интересы в суде, а также любыми иными законными средствами;
- приобретать и осуществлять иные права, предоставленные ему законодательством Российской Федерации.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Настоящая Политика является общедоступным документом Оператора и подлежит размещению на общедоступном информационном ресурсе Оператора.
11.2. Настоящая Политика подлежит изменению, дополнению в случае изменения законодательства Российской Федерации, локальных нормативных актов Оператора в области обработки и защиты персональных данных, а также в иных необходимых случаях.
11.3. Контроль исполнения требований настоящей Политики у Оператора осуществляется Ответственным за организацию обработки персональных данных Оператора.
11.4. Ответственность Оператора, а также его должностных лиц и работников за невыполнение требований норм, регулирующих обработку и защиту персональных данных, установлена законодательством Российской Федерации и локальными нормативными актами Оператора.