ПОЛИТИКА

В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ НЧОУ ДПО «ШКОЛА ОХРАНЫ «АКВИЛОН»

  1. Общие положения.

1.1. Настоящая Политика в области обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее по тексту – Федеральный закон № 152-ФЗ), а также иными федеральными законами и нормативными правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые НЧОУ ДПО «Школа охраны «Аквилон» (далее по тексту – Оператор, Учреждение), адрес местонахождения: 162614, Вологодская область, гор. Череповец, ул. Маяковского, д. 11, оф. 209, может получить от субъекта персональных данных в рамках осуществления своей деятельности.

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона № 152-ФЗ.

1.3. В Политике определены основные понятия, основные права и обязанности Оператора и субъекта персональных данных, цели обработки персональных данных, правовое основание для обработки персональных данных, порядок и условия обработки, использования, хранения и передачи персональных данных субъекта персональных данных, условия прекращения обработки персональных данных, структура и необходимый уровень защищенности, а также меры, применяемые Оператором для обеспечения безопасности персональных данных при их обработке.

1.4. Требования настоящей Политики распространяются на всех работников Оператора и их законных представителей. Каждый работник, вновь принимаемый на работу в Учреждение, должен быть ознакомлен с настоящей Политикой.

1.5. Настоящая Политика вступает в силу с момента ее утверждения директором Учреждения и действует бессрочно, до замены ее новой Политикой или внесения изменений в действующую Политику.

1.6. Ответственность за актуализацию настоящей Политики и текущий контроль за выполнением содержащихся в ней норм возлагается на назначаемого приказом по Учреждению уполномоченного сотрудника, ответственного за организацию обработки персональных данных.

1.7. Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу текст настоящей Политики размещается в общедоступном неопределенному кругу лиц месте и официальном сайте Учреждения.

Основные понятия, реализуемые в Политике:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Работник – физическое лицо (субъект персональных данных), заключившее с Учреждением трудовой договор.

Обучающийся(слушатель) – физическое лицо (субъект персональных данных), заключившее с Учреждением договор на обучение по образовательной программе.

Соискатель(кандидат) – физическое лицо (субъект персональных данных), представившее в Учреждение свои персональные данные с предложением заключения трудового договора.

Распространение персональных данных – действия, направленные на передачу персональных данных работника(обучающегося) определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе: обнародование персональных данных работника(обучающегося) в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работника(обучающегося) каким-либо иным способом.

Конфиденциальность персональных данных – обязательное для соблюдения работниками, получившими доступ к персональным данным, требование не допускать их распространения без согласия работника(обучающегося) или иного законного основания.

Использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работника(обучающегося), либо иным образом затрагивающих его права и свободы или права и свободы других лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Информация – любые сведения (сообщения, данные) независимо от формы их представления.

         

  1. Правовое основание обработки персональных данных.

2.1 Оператор обязан осуществлять обработку персональных данных только на законной и справедливой основе.

2.2. Оператор осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:

  • Конституцией Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Налоговым кодексом Российской Федерации;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральным законом от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
  • Федеральным законом от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
  • Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
  • Постановлением Правительства РФ от 15 сентября 2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Уставом НЧОУ ДПО «Школа охраны «Аквилон»;
  • Лицензией на осуществление образовательной деятельности, выданной Департаментом образования Вологодской области от 20 декабря 2012 № 7566;
  • иными нормативными правовыми актами РФ и локальными актами Оператора;
  • трудовым договором между Оператором и работником;
  • договором на обучение по образовательным программам между Оператором и обучающимся;
  • согласием субъекта персональных данных на обработку персональных данных.

2.3. Обработка персональных данных не может быть использована Оператором или его работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

2.4. Обработка персональных данных в Учреждении должна ограничиваться достижением законных, конкретных и заранее определенных целей.

2.5. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.

2.6. Все принимаемые Оператором локальные нормативные акты, регламентирующие обработку в Учреждении персональных данных, разрабатываются на основании настоящей Политики. 

  1. Категории субъектов персональных данных

3.1. Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:

–     работники Оператора и их ближайшие родственники;

–     бывшие работники Оператора;

–     обучающиеся (слушатели);

–     соискатели (кандидаты) на замещение вакантных должностей, на обучение.

3.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

  1. Категории обрабатываемых персональных данных

4.1. Учреждение обрабатывает следующие категории персональных данных:

  • Фамилия, имя отчество;
  • Пол;
  • День, месяц, год и место рождения;
  • Гражданство;
  • Профессия;
  • Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;
  • Сведения о документах, удостоверяющих личность (паспортные данные, данные военного билета, удостоверения частного охранника, в том числе серия, номер, дата выдачи, наименование органа, выдавшего документ);
  • Номера телефонов, в случае их регистрации на субъекте персональных данных или по адресу его места жительства;
  • Электронная почта;
  • Фотографическое изображение;
  • Табельный номер работника Учреждения;
  • Сведения о трудовой деятельности и трудовом стаже;
  • Сведения, предусмотренные карточкой унифицированной формы Т-2 «Личная карточка работника»;
  • Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на(с) учет(а) и другие сведения);
  • Сведения о присвоении квалификации частного охранника;
  • Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание и другие сведения);
  • Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения;
  • Сведения о заработной плате, иных выплатах, суммах удержаний, реквизитах банковского счёта и карты для перечислений;
  • Сведения о страховых, налоговых и иных обязательных отчислениях;
  • Сведения о присвоении идентификационного номера налогоплательщика (ИНН) – при его наличии у работника;
  • Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения);
  • Сведения о долговых и иных обязательствах;
  • Сведения о номере и серии страхового свидетельства государственного пенсионного страхования (СНИЛС);
  • Сведения о близких родственниках (семейное положение работника, фамилия, имя, отчество родственников, дата рождения родственников, степень родства);
  • Данные свидетельства о рождении детей;
  • Сведения об инвалидности (при наличии);
  • Сведения о временной нетрудоспособности работников Учреждения;
  • Сведения о результатах обязательных медицинских осмотров и обследований;
  • Сведения о медицинском заключении об отсутствии медицинских противопоказаний к исполнению обязанностей частного охранника, в том числе к владению оружием;
  • Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) работников Учреждения;
  • Сведения о нарушениях и взысканиях;
  • Сведения по учёту рабочего времени, выполненной работы;
  • Сведения о размерах спецодежды, спецобуви и других средствах индивидуальной защиты;
  • Сведения об отпуске;
  • Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
  • Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней;
  • Сведения о деловых и иных личных качествах, носящий оценочный характер;
  • иная информация с учетом целей обработки персональных данных, указанных в разделе 5 настоящей Политики.

 

  1. Цели обработки персональных данных.

5.1. Оператор осуществляет обработку персональных данных исключительно в целях:

  • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных актов Оператора, осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора;
  • содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений, в том числе, но не ограничиваясь, начисления заработной платы, пособий по социальному страхованию, иных выплат, исчисления и уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, подготовки наградных документов и награждения работников;
  • осуществления образовательной деятельности и регулирования иных непосредственно связанных с нею отношений в том числе, но не ограничиваясь, контроля успеваемости и посещаемости занятий, оплаты услуг;
  • отражения информации в кадровых документах;
  • отражения информации в информационных системах другого лица по поручению Оператора (на основании заключаемого с этим лицом договора);
  • предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы, пособий по социальному страхованию, иных выплат;
  • предоставления сведений третьим лицам для оформления полиса ДМС, для ведения кадрового и налогового учета, для оформления служебных командировок/поездок (билеты, гостиницы), для обучения, для информационной поддержки, для проведения медицинских осмотров, для обеспечения мобильной связью;
  • исполнения Оператором договорных обязательств перед контрагентами при осуществлении хозяйственной деятельности, в том числе оказания третьими лицами услуг, или выполнения третьими лицами работ в интересах Оператора;
  • исполнения Оператором иного рода обязательств перед работником и членами его семьи, принятых на себя Оператором в одностороннем порядке.

5.2. В Учреждении обработке подлежат только те персональные данные, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

5.3. В том случае если для достижения указанных выше целей обработки персональных данных Оператору необходимо осуществить обработку биометрических персональных данных, либо касающихся состояния здоровья, то такая обработка осуществляется только на основании согласия субъекта персональных данных.

5.4. Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.

 

  1. Условия обработки и передачи персональных данных

6.1. Оператор обеспечивает конфиденциальность персональных данных в отношении всех субъектов персональных данных.

6.2. Оператор не осуществляет трансграничную передачу персональных данных.

6.3. Оператор поручает обработку персональных данных субъектов другим лицам. При этом Учреждение выполняет все требования к поручению обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ.

6.4. Оператор может поручить обработку персональных данных другому лицу только при выполнении следующих условий:

–     получено согласие субъекта на поручение обработки персональных данных другому лицу;

–     обработка персональных данных осуществляется на основании заключаемого с этим лицом договора, существенным условием которого является обязанность обеспечения этим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

6.5. Оператор обязан предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности.

  1. Перечень действий с персональными данными

7.1. Оператор осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (предоставление), уничтожение) персональных данных без использования средств автоматизации.

7.2. Оператор может поручить обработку персональных данных другим лицам в случаях, если:

–     субъект персональных данных дал согласие на осуществление таких действий (при наличии условий в договоре с этим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом № 152-ФЗ.

–     для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

–     в иных случаях, предусмотренных законодательством Российской Федерации.

7.3. Обработка персональных данных может осуществляться другим лицом по поручению Оператора (на основании заключаемого с этим лицом договора) в информационных системах этого лица с использованием средств автоматизации, при наличии согласия субъекта персональных данных на осуществление таких действий.

 

  1. Общие принципы и условия обработки персональных данных субъектов

8.1. Обработка персональных данных субъектов в Учреждении осуществляется на основе следующих принципов:

8.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

8.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

8.1.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

8.1.4. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

8.1.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен нормативными правовыми актами РФ, либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

8.1.6. Передача персональных данных субъекта персональных данных в электронном виде третьим лицам должна осуществляться по защищенному каналу сети Интернет с использованием программных средств архивации с обязательным применением парольной защиты, с согласия субъекта персональных.

8.1.7. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.

  1. Основные права и обязанности Оператора

9.1. Оператор вправе:

9.1.1. Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством РФ.

9.1.2. Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.).

9.1.3. Отказать в предоставлении персональных данных в случаях, предусмотренных действующим законодательством РФ.

9.1.4. Отстаивать свои интересы в суде.

9.2. Обязанности оператора.

9.2.1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона № 152-ФЗ.

9.2.2. Если предоставление персональных данных является обязательным в соответствии с требованиями действующего законодательства РФ, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

9.2.3. Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных частью 4 ст. 18 Федерального закона № 152-ФЗ, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

  • наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные Федеральным законом № 152-ФЗ права субъекта персональных данных;
  • источник получения персональных данных.

9.2.4. Сведения, касающиеся обработки персональных данных субъекта, должны быть предоставлены субъекту персональных данных по его запросу оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

9.2.5. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона № 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

9.2.6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

9.2.7. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

9.2.8. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

9.2.9. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

9.2.10. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

9.2.11. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

9.2.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

9.2.13. В случае отсутствия возможности уничтожения персональных данных в течение срока, установленного Федеральным законом № 152-ФЗ, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

9.2.14. Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ.

9.2.15. В случае изменений сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

 

  1. Права и обязанности субъекта персональных данных

10.1. Субъект персональных данных имеет право:

10.1.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
  • Для получения указанной информации субъект персональных данных может отправить письменный запрос по месту нахождения Оператора в порядке, установленном ст. 14 Федерального закона № 152-ФЗ. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

10.1.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных действующим законодательством РФ.

10.1.3. Требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. При отказе Оператора исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.

10.1.4. Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.

10.1.5. На определение своих представителей для защиты своих персональных данных.

10.1.6. Требовать прекращения обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации.

10.1.7. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

10.1.8. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10.2. Субъект персональных данных обязан:

10.2.1. Предоставлять Оператору только достоверные и полные персональные данные, которые при необходимости должны быть документально подтверждены.

10.2.3. Своевременно сообщать Оператору об изменении своих персональных данных.

10.2.3. Сохранять конфиденциальность персональных данных других субъектов персональных данных, ставшие ему известными в связи с осуществлением деятельности.

  1. Хранение и использование персональных данных субъектов

11.1. Персональные данные субъектов персональных данных должны храниться и обрабатываться с соблюдением требований действующего законодательства РФ о защите персональных данных.

11.2. Хранение Оператором персональных данных субъектов персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

11.3. Оператор обеспечивает ограничение доступа к персональным данным лицам, не уполномоченным законодательством или Оператором для получения соответствующих сведений.

11.4. Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, установленными Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», иными требованиями законодательства и нормативными документами, а также сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства.

 

  1. Условия прекращения обработки персональных данных

12.1. Оператор прекращает обработку персональных данных при условии:

–     ликвидации или прекращения деятельности Оператора;

–     истечения установленных нормативными правовыми актами РФ сроков хранения персональных данных субъектов;

–     истечения срока действия согласия на обработку персональных данных субъекта персональных данных;

–     отзыва субъектом персональных данных согласия на обработку персональных данных.

  1. Меры по обеспечению безопасности персональных данных при их обработке

13.1. Оператором приняты правовые, технические и организационные меры к защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

13.2. Обеспечение безопасности персональных данных в Учреждении достигается, в частности, следующими способами:

  • назначением сотрудника, ответственного за организацию обработки и обеспечение безопасности персональных данных;
  • изданием документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам Оператора;
  • произведением оценки вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
  • ознакомлением работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику Учреждения в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных и обучением указанных сотрудников;
  • обеспечением неограниченного доступа к документу, определяющему политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • разработкой положений, инструкций и регламентов по организационным и техническим мерам обеспечения безопасности персональных данных;
  • утверждением перечня лиц, осуществляющих в Учреждении обработку персональных данных либо имеющих к ним доступ;
  • изданием локальных нормативных актов, регламентирующих в Учреждении обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, их ответственность за компрометацию персональных данных;
  • установлением запрета для работников, осуществляющих обработку персональных данных, на несанкционированное или нерегистрируемое копирование персональных данных;
  • выделением конкретных мест хранения материальных носителей персональных данных, обработка которых осуществляется в Учреждении и организацией режима обеспечения безопасности помещений с местами хранения материальных носителей персональных данных;
  • обеспечением раздельного хранения материальных носителей персональных данных, обработка которых осуществляется в различных целях в надежно запираемых шкафах и сейфах;
  • организацией контроля доступа посторонних лиц в помещения, в которых осуществляется обработка и хранение информации, содержащей персональные данные;
  • учетом машинных носителей персональных данных;
  • разграничением прав доступа с использованием учетной записи и парольной защиты;
  • использованием лицензированных антивирусных программ, не допускающих несанкционированный доступ к персональным данным;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
  • передачей файлов, содержащих персональные данные, с использованием программных средств архивации с паролем по защищенному каналу сети Интернет;
  • использованием средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • организацией физической охраны и опечатыванием помещений в которых осуществляется обработка персональных данных и хранение материальных носителей персональных данных.

13.3. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

  1. Ответственность за обеспечение безопасности персональных данных

14.1. Оператор закрепляет персональную ответственность Работников за соблюдением установленного в Учреждении режима конфиденциальности.

14.2. Директор Учреждения, разрешающий доступ работникам Учреждения к документам и сведениям, содержащим персональные данные, несет персональную ответственность за данное разрешение.

14.3. Каждый работник Оператора, имеющий доступ к документам и сведениям, содержащим персональные данные, несет персональную ответственность за соблюдение норм, регламентирующих получение, обработку и защиту персональных данных.

14.4. Каждый работник Оператора, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

14.5. Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством РФ.

14.6. Оператор не несет ответственности за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.

 

  1. Требования по обеспечению защиты персональных данных

15.1. Персональные данные в Учреждении могут обрабатываться только допущенными в установленном порядке к обработке персональных данных работниками Оператора (далее – уполномоченные работники Оператора).

15.2. Уполномоченные работники Оператора:

15.2.1. Имеют право приступать к работе с персональными данными только после ознакомления под личную роспись с локальными нормативными актами, регламентирующими в Учреждении обработку персональных данных.

15.2.2. Должны действовать в соответствии с положениями настоящей Политики, и другими локальными документами Оператора в области обработки и защиты персональных данных, и соблюдать требования действующего в Учреждении режима конфиденциальности персональных данных.

15.2.3. Должны следовать установленным процедурам поддержания режима конфиденциальности и безопасности персональных данных при выборе и использовании паролей.

15.2.4. Должны обеспечивать надлежащую защиту оборудования, не оставлять его без присмотра, особенно в случаях, когда в помещение могут попасть посторонние лица.

15.2.5. Должны знать требования по безопасности персональных данных и процедуры защиты оборудования, а также свои обязанности по обеспечению такой защиты.

15.2.6. При работе с персональными данными на ПК обязаны обеспечить отсутствие возможности просмотра персональных данных третьими лицами с мониторов ПК.

15.2.7. При завершении работы с персональными данными на ПК обязаны защитить монитор с помощью блокировки учетной записи пользователя.

15.2.8. Уполномоченным работникам Оператора запрещается устанавливать стороннее программное обеспечение, подключать к ПК личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.

 

  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

16.1. Все работники Оператора, допущенные к обработке персональных данных в связи с выполнением ими служебных (трудовых) обязанностей, на основании письменного обязательства несут персональную ответственность за соблюдение конфиденциальности персональных данных работников Оператора.

16.2. Каждый работник Оператора, получающий для работы документ, содержащий персональные данные работника, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

16.3. Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

16.4. Директор Учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность, установленную Кодексом об административных правонарушениях Российской Федерации.

16.5. Работники Оператора, допущенные к обработке персональных данных, в связи с выполнением ими служебных (трудовых) обязанностей, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях Российской Федерации.

Этот веб-сайт использует файлы cookie и запрашивает ваши личные данные для улучшения вашего просмотра.