ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика в области обработки и защиты персональных данных в АНО ЕОФ (далее по тексту — Политика):

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

Персональные данные —
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор —
государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных —
любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных —
обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных —
действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных —
действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных —
временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных —
действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных —
действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных —
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных —
передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. ПРАВОВЫЕ ОСНОВАНИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Политика определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

3.2. Во исполнение настоящей Политики Оператором утверждаются локальные нормативные акты Оператора, касающиеся следующих аспектов обработки и защиты персональных данных:

ОБРАБАТЫВАЕМЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор собирает и обрабатывает персональные данные в объеме и количестве, минимально необходимых для целей их обработки, определенных в пункте 5.4. настоящей Политики.

Подробный перечень персональных данных устанавливается локальными нормативными актами Оператора.

4. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Законность обработки персональных данных

Обработка персональных данных должна осуществляться на законной и справедливой основе, с соблюдением принципов, правил и требований, установленных международными договорами Российской Федерации, Конституцией и федеральными законами Российской Федерации, а также иными нормативными правовыми актами Российской Федерации.

4.2. Согласие субъекта на обработку его персональных данных

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если только право на обработку персональных данных без получения соответствующего согласия субъекта этих данных не установлено федеральным законодательством Российской Федерации или международными договорами Российской Федерации.

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на выдачу согласия от имени субъекта персональных данных проверяются Оператором.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

4.3. Законные источники получения Оператором персональных данных

Оператор получает персональные данные у самих субъектов персональных данных. В установленных федеральными законами Российской Федерации случаях Оператор также вправе получать персональные данные из других источников.

Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления этим лицом Оператору подтверждения наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Оператор в том числе вправе обрабатывать персональные данные, полученные от третьего лица, на основании заключаемого с другим оператором договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). В этом случае Оператор не обязан получать согласие субъекта персональных данных на обработку его персональных данных. При этом ответственность перед субъектом персональных данных за действия Оператора (АНО ЕОФ) несет тот оператор, который поручил Оператору обработку персональных данных на основании договора, а Оператор несет ответственность перед оператором, поручившим Оператору (АНО ЕОФ) обработку персональных данных.

Кроме того, в случаях и в порядке, установленных федеральным законодательством, Оператор также вправе обрабатывать персональные данные, полученные от представителя субъекта персональных данных, от наследников субъекта персональных данных, а также из общедоступных источников.

4.4. Цели обработки персональных данных

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Оператор обрабатывает персональные данные в целях достижения следующих целей:

4.5. Принцип актуальности, полноты и достоверности персональных данных

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В случаях и в порядке, установленных федеральным законодательством, Оператор должен обеспечить уточнение, блокирование или уничтожение необходимости персональные данные, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.6. Принципы обработки биометрических персональных данных

Оператор осуществляет обработку следующих биометрических персональных данных: фотоизображение физического лица, используемое для установления личности этого физического лица, в т.ч. в целях организации пропускного и внутриобъектового режима на территории Оператора, в целях охраны имущественных и неимущественных прав и интересов Оператора и третьих лиц. Оператор обрабатывает биометрические персональные данные в виде фотоизображений физических лиц без использования средств автоматизации.

Оператор также вправе без получения согласия субъекта персональных данных обрабатывать такие персональные данные, как фото- и видео- и иные изображения физических лиц, полученные из открытых источников либо в порядке, предусмотренном подпунктами 1 — 3 пункта 1 статьи 152.1 Гражданского кодекса Российской Федерации, либо в порядке, предусмотренном пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

4.7. Принципы обработки специальных категорий персональных данных

Оператор вправе осуществлять обработку специальных категорий персональных данных, касающихся состояния здоровья, а также иных специальных категорий персональных данных работников Оператора, соискателей на вакантные должности Оператора, физических лиц-контрагентов, а также иных субъектов персональных данных, исключительно в случаях, предусмотренных частями 2 и 3 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Оператор незамедлительно прекращает обработку специальных категорий персональных данных, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено Федеральным законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

4.8. Принципы осуществления трансграничной передачи персональных данных

Оператор вправе осуществлять трансграничную передачу персональных данных на территории иностранных государств, при условии соблюдения требований, установленных статьей 12 Федерального закона РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5. СВЕДЕНИЯ О ЛИЦАХ, ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных, либо, в установленных законодательством Российской Федерации случаях, без согласия субъектов персональных данных, но с соблюдением прав и законных интересов этих субъектов, Оператор в ходе своей деятельности предоставляет персональные данные следующим лицам:

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора либо путем принятия государственным или муниципальным органом соответствующего акта.

6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

6.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.2. Обеспечение безопасности персональных данных достигается, в частности:

7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

7.2. Субъект персональных данных вправе требовать от Оператора уточнения, обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Запрос субъекта персональных данных о предоставлении информации, касающейся обработки его персональных данных, должен содержать обязательные реквизиты, установленные законодательством Российской Федерации о персональных данных, в том числе: номер основного документа, удостоверяющего личность субъекта персональных

данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

7.6. Запросы субъекта персональных данных для получения им сведений о своих персональных данных, ознакомления с ними, для их уточнения, блокирования или уничтожения, исключения их из общедоступных источников, отзыва согласия на их обработку субъект персональных данных должны быть направлены по следующему адресу:

АНО ЕОФ
Адрес: 109428, Россия, Москва г., Вн.Тер.Г. Муниципальный Округ Рязанский, ул. Зарайская, д. 21, этаж, офис 3, 1302, помещ. 304

8.7. Субъект персональных данных вправе защищать свои права и законные интересы в судебном и досудебном порядке, в том числе получать возмещение убытков и (или) компенсацию морального вреда.

8. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Срок обработки персональных данных начинается с момента их получения Оператором.

8.2. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели обработки этих персональных данных.

8.3. Персональные данные работников Оператора, а также, в установленных правом Российской Федерации случаях — родственников работников, используются в течение трудовой деятельности таких работников в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).

8.4. Персональные данные граждан, обратившихся к Оператору в установленном порядке, хранятся в делах структурных подразделений Оператора в течение срока, определённого федеральным законодательством либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а если такой срок не определен, то в течение срока, определенного номенклатурой дел Оператора, но в любом случае не дольше, чем этого требуют цели обработки персональных данных.

9. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.

9.2. Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.

9.3. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.

9.4. Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.

9.5. Уничтожение персональных данных осуществляется Оператором:

по достижении цели обработки персональных данных;

в случае отсутствия необходимости в достижении целей обработки персональных данных;

в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;

по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения Оператором неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

9.6. При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.

10. ОБЯЗАННОСТИ И ПРАВА ОПЕРАТОРА

10.1. Оператор обязан осуществлять обработку персональных данных в строгом соответствии с законодательством Российской Федерации.

10.2. Оператор вправе:

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Настоящая Политика является общедоступным документом Оператора и подлежит размещению на общедоступном информационном ресурсе Оператора.

11.2. Настоящая Политика подлежит изменению, дополнению в случае изменения законодательства Российской Федерации, локальных нормативных актов Оператора в области обработки и защиты персональных данных, а также в иных необходимых случаях.

11.3. Контроль исполнения требований настоящей Политики у Оператора осуществляется Ответственным за организацию обработки персональных данных Оператора.

11.4. Ответственность Оператора, а также его должностных лиц и работников за невыполнение требований норм, регулирующих обработку и защиту персональных данных, установлена законодательством Российской Федерации и локальными нормативными актами Оператора.