Политика обработки персональных данных

1. Общие положения

1.1. Настоящая политика обработки персональных данных
в АНО «ЦРКИ» (далее – Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
и определяет ключевые направления деятельности в области обработки
и защиты персональных данных, оператором которых является АНО «ЦРКИ» (далее – Оператор).

1.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.

1.3. Политика раскрывает правовые основания, цели обработки персональных данных, категории обрабатываемых персональных данных
и источники их получения, основные принципы обработки, передачи
и хранения персональных данных, меры по обеспечению безопасности персональных данных при их обработке Оператором, а также права субъектов персональных данных.

1.4. Принятие настоящей политики преследует следующие цели:

- обеспечение защиты прав и свобод субъектов при обработке
их персональных данных Оператором;

- предотвращение нарушений законных прав и интересов субъектов персональных данных;

- защита персональных данных субъектов от несанкционированного доступа и разглашения;

- недопущение нанесения возможного ущерба, вызванного неправомерными умышленными или неосторожными действиями юридических и (или) физических лиц путем безвозмездного присвоения информации или
ее разглашения, нарушением установленных норм, регулирующих обработку
и защиту персональных данных.

1.5. Основные понятия, используемые в настоящей политике:

1) персональные данные – любая информация, относящаяся к прямо
или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие
и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые
с персональными данными;

3) обработка персональных данных – любое действие (операция)
или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных – действия, направленные
на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих
их обработку информационных технологий и технических средств.



2. Правовые основания обработки персональных данных

2.1. Политика Оператора в области обработки персональных данных определяется следующими основными нормативными правовыми актами Российской Федерации:

– Конституцией Российской Федерации;

– Трудовым кодексом Российской Федерации;

– Гражданским кодексом Российской Федерации;

– Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

– Постановлением Правительства Российской Федерации от 01.10.2012 № 1119 «Об утверждении требований к защите персональных данных при
их обработке в информационных системах персональных данных»;

– Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

– Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;

– иными нормативными правовыми актами.



3. Цели сбора персональных данных

3.1. Информация, содержащая персональные данные работников, используется в АНО «ЦРКИ» в целях исполнения требований Трудового кодекса Российской Федерации, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, исполнение требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование
и обеспечение.

3.2. Обработка персональных данных субъектов, не являющихся работниками АНО «ЦРКИ» осуществляется с их предварительного согласия, заполняя «Согласие на обработку персональных данных».

3.3. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, указанные в пп. 3.1 и 3.2 настоящей Политики, если отсутствуют законные основания для дальнейшей обработки, например, если Федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

1) при достижении цели обработки персональных данных, если иное
не предусмотрено договором, а также в случае отзыва субъектом персональных данных согласия на обработку его персональных данных – в течение 30 дней;

2) предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, – в течение 7 дней;

3) невозможность обеспечения правомерности обработки персональных данных – в течение 10 рабочих дней;

3.4. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 3.3 настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен Федеральными законами.

4. Категории обрабатываемых персональных данных,
источники их получения

4.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:

– персональные данные работников Оператора (менее 100 000 записей);

– персональные данные субъектов, не являющихся работниками Оператора (более 100 000 записей).

4.2. Для достижения целей обработки персональных данных Оператор обрабатывает следующие персональные данные участников:

Фотография
Фамилия, имя, отчество
Серия, номер паспорта, кем и когда выдан
Адрес и дата регистрации по месту жительства (месту пребывания)
Адрес фактического места жительства
Пол
Возраст
Дата рождения
Национальность
Гражданство
Номер телефона
Сведения о владении иностранными языками, уровень владения
Адрес электронной почты
Место работы
Должность
Стаж
Сведения об образовании
Автобиография
Ссылки на личные страницы в соцсетях
Физические отклонения
Группа инвалидности
Форма инвалидности
Аллергенность

5. Основные принципы обработки, передачи и хранения
персональных данных

5.1. Обработка персональных данных осуществляется на законной
и справедливой основе.

5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

5.4. Обрабатываются только персональные данные, которые отвечают целям их обработки.

5.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению
к заявленным целям их обработки.

5.6. Должна быть обеспечена точность персональных данных,
их достаточность, а в необходимых случаях и актуальность по отношению
к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.

5.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию
по достижении целей обработки или в случае утраты необходимости
в достижении этих целей, если иное не предусмотрено Федеральным законом.

5.8. Оператор в установленном порядке вправе поручить обработку персональных данных работников третьим лицам, на основании заключаемого
с этим лицом договора. При этом существенным условием договора является требование по соблюдению принципов и правил обработки персональных данных, соблюдению конфиденциальность персональных данных, а также принятие необходимых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.

5.9. В целях соблюдения законодательства Российской Федерации,
для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных (работников) Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

– Федеральной налоговой службе;

– Пенсионному фонду России;

– Фонду социального страхования Российской Федерации;

– банкам;

– иным организациям, определенным действующим законодательством Российской Федерации.

5.10. В договоры с лицами, которым Оператор поручает обработку персональных данных, включаются условия, обязывающие таких лиц соблюдать предусмотренные Федерального закона от 27.07.2006 № 152
«О персональных данных» правила обработки персональных данных.



6. Меры по обеспечению безопасности персональных
данных при их обработке

6.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты
от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

6.2. Приказом директора АНО «ЦРКИ» назначается лицо, ответственное за организацию обработки персональных данных Оператором.

6.3. Ответственное лицо осуществляет внутренний контроль и/или аудит соответствия применяемых Оператором мер по защите персональных данных требованиям нормативных правовых актов Российской Федерации.

6.4. Доступ работников к обрабатываемым персональным данным организован в соответствии с их должностными обязанностями
и регламентирован требованиями локальных документов АНО «ЦРКИ».

6.5. Работники Оператора, непосредственно осуществляющие обработку персональных данных, знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями
к защите персональных данных, локальными актами в отношении обработки персональных данных под подпись.

6.6. При обработке персональных данных в информационных системах персональных данных применяются необходимые организационные
и технические меры по обеспечению их безопасности.

6.7. Осуществляется оценка эффективности принимаемых мер
по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

6.8. Организован и ведется учет машинных носителей персональных данных.

6.9. Установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

6.10. При обработке персональных данных субъектов персональных данных используются базы данных, находящиеся на территории
Российской Федерации.



7. Права субъектов персональных данных

7.1. Субъект персональных данных имеет право на получение сведений
об обработке своих персональных данных Оператором.

7.2. Субъект персональных данных вправе требовать от Оператора уточнения, при необходимости, своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Субъект персональных данных имеет право на защиту своих прав
и законных интересов.

7.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами Российской Федерации.

7.5. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц
и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Все запросы и обращения субъектов персональных данных регистрируются
в «Журнале учета обращений субъектов ПДн».

7.6. Субъект персональных данных вправе обжаловать действия
или бездействие Оператора путем обращения в уполномоченный орган
по защите прав субъектов персональных данных или в судебном порядке.



8. Обязанности оператора

8.1. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо
на законных основаниях предоставить отказ в течение десяти рабочих дней
с даты получения запроса субъекта персональных данных или его представителя указанный срок может быть продлен, но не более чем на пять рабочих дней.

8.2. Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом.

8.3. Принимать необходимые правовые, организационные
и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.4. В соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006
№ 152 «О персональных данных» опубликовать в сети Интернет
на официальном сайте и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях
к защите персональных данных.

8.5. Осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

8.6. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, уточнить персональные данные либо обеспечить их уточнение
(если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

8.7. Прекратить неправомерную обработку персональных данных
или обеспечить прекращение неправомерной обработки персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим на основании договора с Оператором.

8.8. Прекратить обработку персональных данных или обеспечить
ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по договору с Оператором) и уничтожить данные
или обеспечить их уничтожение (если обработка данных осуществляется другим лицом, по поручению Оператора) по достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных.

8.9. Прекратить обработку персональных данных или обеспечить
ее прекращение и уничтожить персональные данные или обеспечить
их уничтожение в случае отзыва субъектом персональных данных согласия
на обработку персональных данных.

8.10. Выполнять иные обязанности, предусмотренные законодательством Российской Федерации.

8.11. Работники Оператора обязаны:

- ознакомиться с Политикой и внутренними документами, регламентирующими процесс обработки персональных данных, и выполнять требования этих документов;

- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

- не разглашать персональные данные, к которым был получен доступ в рамках исполнения своих трудовых обязанностей;

- информировать работодателя о фактах разглашения (уничтожения, искажения) персональных данных.



9. Заключительные положения

9.1. Политика является общедоступным документом и подлежит размещению в доступном для субъектов персональных данных месте.

9.2. Политика подлежит изменению/дополнению в случае появления новых законодательных актов и специальных нормативных документов
по обработке и защите персональных данных, но не реже одного раза в три года.

9.3. Контроль исполнения требований настоящей Политики осуществляется должностным лицом АНО «ЦРКИ», ответственным
за организацию обработки персональных данных.

9.4. Ответственность за невыполнение требований, регулирующих обработку и защиту персональных данных, должностными лицами
АНО «ЦРКИ», имеющими доступ к персональным данным, определяется
в соответствии с законодательством Российской Федерации и внутренними локальными документами.