1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика разработана в соответствии с требованиями п. 1 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» и направлена на выполнение основных обязанностей оператора персональных данных, предусмотренных законодательством РФ.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации.
Локальные нормативные акты и другие внутренние документы Оператора, регламентирующие обработку персональных данных, разрабатываются с учетом положений настоящей Политики.
Настоящая Политика является общедоступной для ознакомления и подлежит размещению на Сайте Оператора.
1.2. Основные используемые понятия:
- персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
- оператор персональных данных (оператор) – Автономная некоммерческая организация «ЦЕНТР СОЦИАЛЬНОЙ РЕАБИЛИТАЦИИ И АДАПТАЦИИ «ВОСКРЕСЕНЬЕ», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.3. Оператор вправе:
- Отстаивать свои интересы в суде.
- Предоставлять персональные данные субъектов третьим лицам по основаниям, предусмотренным действующим законодательством.
- Обрабатывать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
- Требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
- Поручить обработку персональных данных другому (третьему) лицу с согласия субъектов персональных данных.
- Предоставить информацию о субъекте персональных данных третьим лицам для выявления и пресечения мошеннических действий, для устранения технических неполадок или проблем с безопасностью.
- Осуществлять трансграничную передачу персональных данных.
1.4. Оператор обязан:
- Собирать и обрабатывать персональные данные, объем и содержание которых соответствуют целям сбора и обработки персональных данных.
- Соблюдать конфиденциальность персональных данных, а именно: не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
- Предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных».
- Прекратить обработку и уничтожить персональные данные в случаях, предусмотренных действующим законодательством.
- Принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями.
- Хранить персональные данные в форме, позволяющей определить субъекта, в течение срока хранения персональных данных.
- Предоставить информацию об осуществляемой обработке персональных данных в отношении субъекта персональных данных по запросу (обращению) последнего или его представителя.
Оператор признает персональные данные конфиденциальной информацией и осуществляет обработку такой информации в соответствии с законодательством РФ и локальными нормативными актами, содержащими положения о работе с конфиденциальной информацией. Обеспечение конфиденциальности не требуется в отношении:
- персональных данных после их обезличивания;
- персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством.
Не является нарушением конфиденциальности персональных данных предоставление Оператором информации третьим лицам, действующим на основании договора с Оператором для исполнения обязательств перед субъектом персональных данных.
Оператор осуществляет хранение персональных данных таким способом, который исключает их утрату или их неправомерное использование.
1.5. Субъект персональных данных вправе:
- на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»;
- на получение информации, касающейся обработки его персональных данных;
- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.6. Субъект персональных данных обязан:
- сообщать Оператору достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами, в объеме, необходимом для цели обработки;
- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Обеспечение соблюдения требований федеральных законов и иных нормативных правовых актов Российской Федерации.
2. Осуществление деятельности, предусмотренной Уставом Оператора, в том числе ведение медицинской документации.
3. Информирование субъектов персональных данных, рассылка информационных и иных материалов.
4. Подготовка, заключение, исполнение и прекращение гражданско-правовых договоров.
5. Рассмотрение обращений и претензий субъектов персональных данных, информирование о результатах.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Устав и иные локальные нормативные акты Оператора;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- согласие субъекта персональных данных на их обработку;
- договоры, заключаемые между оператором и субъектом персональных данных;
- другие документы, в том числе законы.
Оператор не осуществляет обработку персональных данных в отсутствие согласия субъекта персональных данных и (или) за пределами условий обработки персональных данных, указанных в законодательстве о персональных данных, если иное не установлено законодательством Российской Федерации.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
К категориям субъектов персональных данных, обрабатываемых Оператором, относятся, в том числе:
- работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- клиенты и контрагенты Оператора (физические лица);
- представители/работники клиентов и контрагентов оператора (юридических лиц).
Объем и категории обрабатываемых персональных данных по категориям субъектов:
4.1. По работникам, бывшим работникам Оператора, кандидатам на замещение вакантных должностей, а также родственникам работников:
— фамилия, имя, отчество;
— паспортные данные (серия, номер, кем выдан);
— место рождения;
— адрес регистрации и адрес проживания;
— номер мобильного телефона;
— адрес электронной почты;
— сведения о предыдущих местах работы (наименование работодателя, рабочий номер телефона, дата начала работы, тип занятости, отрасль работы), кроме родственников работников;
— информация о месте проживания (квартира, дом, часть дома);
— семейный статус, количество детей;
— биометрические данные (изображение (фото с паспортом);
— информация об образовании и повышении квалификации;
— сведения о воинском учете;
— индивидуальный номер налогоплательщика;
— страховой номер индивидуального лицевого счета (СНИЛС);
— иные персональные данные, предоставленные субъектом.
4.2. По контрагентам Оператора (физическим лицам):
— фамилия, имя, отчество;
— номер мобильного телефона;
— адрес электронной почты;
— паспортные данные (серия, номер, кем выдан);
— адрес регистрации и адрес проживания;
4.3. Представители/работники контрагентов оператора (юридических лиц):
— фамилия, имя, отчество;
— номер мобильного телефона;
— адрес электронной почты;
— паспортные данные (серия, номер, кем выдан);
— адрес регистрации и адрес проживания;
Оператор не осуществляет обработку персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, наличия судимости.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Перечень действий, совершаемых Оператором с персональными данными субъектов:
– сбор;
– запись;
– систематизация;
– накопление;
– хранение;
– уточнение (обновление, изменение);
– извлечение;
– использование;
– передача (распространение, предоставление, доступ);
– обезличивание;
– блокирование;
– удаление;
– уничтожение персональных данных.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
5.3. Обработка персональных данных осуществляется Оператором с помощью средств вычислительной техники (автоматизированная обработка) и при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
5.4. Обработка персональных данных осуществляется путем:
– получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
– предоставления субъектами персональных данных оригиналов необходимых документов;
– получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
– получения персональных данных из общедоступных источников;
– внесения персональных данных и передачи их Оператору посредством сети Интернет;
– использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Оператором деятельности.
5.5. Срок обработки персональных данных – с момента предоставления персональных данных субъекта и возникновения правовых оснований для обработки до момента отзыва согласия на обработку персональных данных, если иной срок не установлен законодательством или согласием субъекта.
5.6. Условия передачи персональных данных в адрес третьих лиц.
Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
При передаче персональных данных третьим лицам в соответствии с заключенными договорами Оператор обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов в области персональных данных. Также третье лицо при обработке персональных данных соблюдает положения настоящей Политики, в частности принципы, требования к способам обработки и защите персональных данных.
Объем персональных данных, передаваемых третьему лицу для обработки, совпадает, либо является меньшим в сравнении с объемом персональных данных, которые обрабатывает Оператор.
Оператор вправе с согласия субъекта персональных данных передавать персональные данные третьим лицам, которые предоставили Оператору сервисы, с использованием которых он осуществляет обработку персональных данных.
Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.7. Условием прекращения обработки персональных данных может являться:
— достижение целей обработки персональных данных,
— истечение срока действия согласия,
— отзыв согласия субъекта персональных данных на обработку его персональных данных,
— выявление неправомерной обработки персональных данных.
5.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных. Срок хранения составляет период времени не больше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
Сроки хранения документов, в том числе содержащих персональные данные определяются приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», а также иными нормативными актами Российской Федерации.
6.3. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
6.4. В случае получения запроса/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным Оператор обязан:
6.4.1. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения на основании подтверждающих документов;
6.4.2. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие персональные данные;
6.4.3. Уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.4.5. Сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
6.5. Субъект вправе обратиться к Оператору в свободной форме, путем направления обращения, подписанного собственноручно, по адресу Оператора. Обращение субъекта персональных данных в свободной форме должно содержать:
- наименование Оператора;
- фамилию, имя, отчество, паспортные данные субъекта персональных данных, адрес регистрации и адрес проживания;
- изложение обстоятельств, на которые ссылается субъект персональных данных;
- требование к Оператору в рамках действующего законодательства;
- способ получения ответа на обращение, с указанием реквизитов для направления ответа на обращение.
Если один из приведенных пунктов не указан в обращении, составленном в свободной форме, Оператор вправе не направлять ответ на такое обращение и не выполнять требование, содержащееся в нем.
6.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в порядке, установленном законом, путем направления на адрес регистрации Оператора обращения по Почте России, курьером, при личной встрече. Отзыв согласия на обработку персональных данных считается полученным Оператором с момента регистрации входящей корреспонденции у Оператора.
6.7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
6.8. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством.
6.9. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.