СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ВВЕДЕНИЕ
Настоящая Политика обработки персональных данных в АНО ДО "ЦР "ПЛАНЕТА "ПОЧЕМУ" (далее Политика) разработана в соответствии с требованиями нормативных правовых актов Российской Федерации, регулирующих процессы обработки персональных данных (далее ПД). Политика определяет принципы обработки (сбора, хранения, передачи, уничтожения) и защиты, ПД клиентов и работников АНО ДО "ЦР "ПЛАНЕТА "ПОЧЕМУ" (далее субъекты ПД) реализуемые в АНО ДО "ЦР "ПЛАНЕТА "ПОЧЕМУ" (далее АНО ДО).
Настоящая Политика разработана в соответствии с Конституцией Российской Федерации от 12 декабря 1993 года и международными договорами Российской Федерации, Федеральным законом «О персональных данных» от 27 июля 2006 года №152-ФЗ, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.08.2006 №149-ФЗ, и другими нормативными правовыми актами, регламентирующим процессы обработки персональных данных.
Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПД, осуществляемые как с использованием средств автоматизации, так и без использования таких средств. В дополнение к настоящей Политике разработаны другие локальные нормативные акты, регламентирующие процессы обработки ПД.
Положения настоящей Политики действуют бессрочно, до их замены.
Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных. Новая редакция Политики вступает в силу с момента ее опубликования или обеспечения неограниченного доступа к ней иным образом, если иное не предусмотрено новой редакцией Политики.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Принципы и цели обработки ПД
Обработка ПД осуществляется на основе следующих принципов:
обработка на законной и справедливой основе;
соблюдение законов и иных нормативных правовых актов, регламентирующих процессы обработки ПД;
ограничение обработки ПД достижением конкретных, заранее определенных и законных целей;
недопущение обработки ПД, несовместимой с целями сбора ПД;
недопущение объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
обработка только тех ПД, которые отвечают целям их обработки;
ограничение содержания и объема обрабатываемых ПД соответствием заявленным целям их обработки;
ограничение избыточности обрабатываемых ПД заявленным целям обработки;
обеспечение точности и достаточности, а в необходимых случаях и актуальности ПД по отношению к заявленным целям их обработки.
Обработка ПД в АНО ДО осуществляется исключительно в следующих целях:
предоставление услуг клиентам;
содействие работникам в трудоустройстве, обучении и продвижении по службе;
обеспечение личной безопасности работников;
контроль количества и качества выполняемой работы;
обеспечение сохранности имущества АНО ДО;
исполнение обязательств по договору, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
2.2 Сбор персональных данных
Сбор, накопление, хранение, изменение, использование и передача ПД осуществляется при условии наличия согласия субъекта ПД, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПД без получения согласия субъекта ПД, а именно:
обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
обработка ПД необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;
обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;
обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг;
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
обработка ПД осуществляется неограниченным кругом лиц, которым предоставлен доступ субъектом ПД, либо по его просьбе;
осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством.
2.3 Хранение персональных данных
Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют соответствующие цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
ПД субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.
ПД субъектов в электронном виде обрабатываются в компьютерных сетях АНО ДО и аффилированных с АНО ДО организаций.
2.4 Передача персональных данных третьим лицам
АНО ДО вправе поручить обработку ПД третьему лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом АНО ДО в договоре обязует третье лицо, осуществляющее обработку ПД по поручению АНО ДО, соблюдать принципы и правила обработки ПД, предусмотренные федеральным законом №152-ФЗ «О персональных данных» и другими нормативными правовыми актами, регламентирующим процессы обработки ПД.
В случае если АНО ДО поручает обработку ПД третьему лицу, ответственность перед субъектом ПД за действия указанного лица несет АНО ДО. Лицо, осуществляющее обработку ПД по поручению АНО ДО, несет ответственность перед АНО ДО.
АНО ДО обязуется и обязует третьих лиц, получивших доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законом.
2.5 Трансграничная передача персональных данных
Трансграничная передача ПД АНО ДО не осуществляется.
2.6 Уничтожение персональных данных
В случае достижения целей обработки ПД – АНО ДО прекращает обработку ПД и уничтожает ПД, в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, если иное не предусмотрено соглашением между АНО ДО и субъектом персональных данных.
В случае отзыва субъектом ПД согласия на обработку своих ПД АНО ДО прекращает их обработку, если иное не предусмотрено соглашением между АНО ДО и субъектом ПД, либо если АНО ДО вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных действующим законодательством, регулирующим процессы обработки ПД.
В случае выявления неправомерной обработки ПД – АНО ДО предпринимает меры по уничтожению этих ПД в срок, не превышающий трех рабочих дней со дня выявления неправомерной обработки ПД. В случае, если обеспечить правомерность обработки персональных данных невозможно, АНО ДО в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение.
В случае отсутствия возможности уничтожения ПД в течение указанного срока, АНО ДО осуществляет блокирование таких ПД и обеспечивает уничтожение ПД в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПД, если иной срок не установлен действующим законодательством или иными нормативными правовыми актами, регулирующими процессы обработки ПД.
В случае обращения субъекта ПД с заявлением об уничтожении его персональных данных, АНО ДО обязано прекратить обработку или обеспечить прекращение обработки ПД данного субъекта и уничтожить указанные в заявлении ПД в срок, не превышающий тридцати дней с момента подачи субъектом ПД заявления, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между АНО ДО и субъектом ПД.
ПД на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя.
Уничтожение информации с машиночитаемых носителей ПД, производится способом, исключающим возможность использования и восстановления информации.
Уничтожение ПД производится в соответствии с актуальными внутренними процессами АНО ДО.
2.7. Защита персональных данных
При обработке ПД АНО ДО принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
Обеспечение безопасности ПД достигается, в частности:
определением угроз безопасности ПД при их обработке в информационных системах персональных данных (далее ИСПД);
применением организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;
оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
учетом машинных носителей ПД;
обнаружением фактов несанкционированного доступа к ПД и принятием необходимых мер;
восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к ПД, обрабатываемых в ИСПД, а также обеспечением регистрации доступа к ПД в ИСПД;
контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД.
3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
АНО ДО обеспечивает конфиденциальность ПД, то есть не допускает их распространения без согласия субъекта ПД или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных ПД осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в АНО ДО.
3.1. Организация внутреннего доступа сотрудников к информации, содержащей персональные данные
В рамках настоящей Политики под внутренним доступом понимается доступ к ПД, предоставляемый работникам АНО ДО.
Доступ к ПД предоставляется только тем работникам АНО ДО, которым он необходим для исполнения их непосредственных должностных обязанностей.
Допуск работников АНО ДО к обработке ПД осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПД, обрабатываемых в АНО ДО. Работник АНО ДО допускается к обработке ПД только в том случае, если занимаемая им должность указана в Перечне и только в рамках тех задач, которые он обязан осуществлять для выполнения своих служебных обязанностей.
Работник АНО ДО допускается к обработке ПД только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПД, локальными нормативными актами АНО ДО, регламентирующими обработку ПД, и после подписания обязательства о неразглашении информации, содержащей ПД.
3.2. Организация доступа субъектов персональных данных к своим персональным данным
АНО ДО обеспечивает доступ субъектов ПД к принадлежащим им ПД. Для получения такого доступа субъекту ПД необходимо направить в АНО ДО письменный запрос. АНО ДО осуществляет предоставление ПД обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПД, относящихся к другим субъектам.
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» субъект ПД имеет право:
1. Получить сведения касающиеся обработки ПД АНО ДО, а именно:
подтверждение факта обработки ПД АНО ДО;
правовые основания и цели обработки ПД;
цели и применяемые АНО ДО способы обработки ПД;
наименование и место нахождения АНО ДО, сведения о лицах (за исключением работников АНО ДО), которые имеют доступ к ПД;
обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен действующим законодательством;
сроки обработки ПД, в том числе сроки их хранения;
порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче ПД;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные действующим законодательством.
2. Потребовать от АНО ДО уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПД;
4. Отозвать согласие на обработку ПД в предусмотренных действующим законодательством случаях.
Право субъекта ПД на доступ к своим данным ограничивается в случае, если предоставление ПД нарушает права и законные интересы третьих лиц.
4. ОТВЕТСТВЕННОСТЬ
Работники АНО ДО, виновные в нарушении нормативных правовых актов и локальных нормативных актов АНО ДО, регулирующих процессы обработки и защиты ПД, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.