• Главная
  • Политика обработки персональных данных

Политика обработки персональных данных

Публичная оферта

Скачать "Политика обработки персональных данных АНО «МИРО»"

Скачать "ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ АНО «МИРО»"

ПОЛИТИКА

Автономной некоммерческой организации поддержки семьи и детства «МИРО: Милосердие. Инклюзия. Реабилитация. Образование» (АНО «МИРО»)

в отношении обработки персональных данных

1. Назначение и область применения

  • Настоящая Политика Автономной некоммерческой организации поддержки семьи и детства «МИРО: Милосердие. Инклюзия. Реабилитация. Образование» (АНО «МИРО») в отношении обработки персональных данных (далее – Политика) предназначена для определения общих принципов обработки персональных данных работников АНО «МИРО» (далее – Организация) и иных лиц, чьи персональные данные обрабатываются Организацией с целью обеспечения защиты прав и свобод человека и гражданина - субъекта персональных данных при обработке его персональных данных (далее – ПДн).
  • В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г.

№152-ФЗ «О персональных данных» (далее – Закон) Организация является оператором, то есть юридическим лицом, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку ПДн, а также определяющим цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

1.3. Действие настоящей Политики распространяется на все операции, совершаемые в Организации с ПДн при использовании средств автоматизации или без их использования.

1.4. Настоящая Политика обязательна для ознакомления и исполнения всеми работниками Организации.

1.5. Обеспечение неограниченного доступа к настоящей Политике реализуется путем ее размещения в общедоступных помещениях Организации либо иным способом.

2.Термины и сокращения

  • Термины

Термин

Определение

Автоматизированная обработка персональных данных

обработка персональных данных с помощью средств вычислительной техники

Биометрические персональные данные

сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые оператором для установления личности субъекта персональных данных

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Закон

Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»

Информационная система персональных данных

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Контрагент

физические, юридические лица и индивидуальные предприниматели заключающие или заключившие договор с Организацией

 

Термин

Определение

Обезличивание персональных данных

Действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных

  

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), предоставление доступа или осуществление логических и (или) арифметических операций с такими данными,  обезличивание,  блокирование,  удаление, уничтожение персональных данных

  

Оператор персональных данных

государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке,  действия  (операции),  совершаемые  с персональными данными

  

Организация

Автономная некоммерческая организация поддержки семьи и детства «МИРО: Милосердие. Инклюзия. Реабилитация. Образование» (АНО «МИРО»)

  

Персональные данные

любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)

  

Персональные данные, разрешенные субъектом персональных данных для распространения

персональные данные, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, в порядке, предусмотренном Законом

  

Предоставление

персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

  

Распространение

персональных данных

действия Оператора самого субъекта персональных данных, направленные на раскрытие персональных данных неопределенному кругу лиц

  

Специальные категории персональных данных

данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни

  

Субъект персональных данных

физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных

  

Трансграничная   передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

  

Третьи лица

государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку ПДн, которому переданы, предоставлен доступ к ПДн, либо поручена обработка ПДн по поручению оператора ПДн с согласия субъекта ПДн, если иное не предусмотрено ФЗ

  

Конфиденциальность персональных данных

Состояние защищенности персональных данных при котором Операторы и иные лица, получившие доступ к персональным данным не раскрывают третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом

  

Уничтожение персональных данных

действия, которых восстановить содержание персональных данных информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

  

Работник

Физическое лицо, состоящее в трудовых отношениях с Организацией

  

Уполномоченные представители Контрагента

лица, уполномоченные представлять организацию Контрагента основании ее учредительных документов, либо доверенности.

  
  • Сокращения

Сокращение

Расшифровка

Организация

Автономная некоммерческая организация поддержки семьи и детства «МИРО: Милосердие. Инклюзия. Реабилитация. Образование» (АНО «МИРО»)

ИСПДн

информационная система персональных данных

ЛНА

Локальный нормативный акт

ПДн

персональные данные

РФ

Российская Федерация

ФЗ

Федеральный закон

3. Общие положения

  • Организация, являясь Оператором персональных данных осуществляет обработку персональных данных нижеуказанных субъектов персональных данных по заранее определённым основаниям, целям, составу и срокам:
  • Участники некоммерческих программ

В составе и сроком, необходимыми для цели: принятия Организацией решения об оказании/отказе оказания благотворительной помощи, участие в реализации программ Организации. Основанием обработки   ПДн является согласие субъекта  ПДн, трудовой  кодекс Российской Федерации, требования законодательства об архивном    хранении документов, образующихся в процессе деятельности организаций.

  • Соискатели на замещение вакантных должностей (кандидаты)

В составе и сроком, необходимыми для цели: принятия Организацией решения о приеме на работу либо отказе в приеме на работу, а также содействия в трудоустройстве.

Основанием обработки ПДн является согласие субъекта ПДн, трудовой кодекс Российской Федерации, требования законодательства об архивном хранении документов, образующихся в процессе деятельности организаций.

  • Работники Организации

В составе и сроком, необходимыми для целей: выполнения возложенных законодательством РФ на Организацию функций, полномочий и обязанностей как работодателя (в т.ч. осуществление кадрового, бухгалтерского, пенсионного, налогового учета, обязательного социального страхования работников, выполнения санитарно-эпидемиологических требований и норм, требований к охране труда и промышленной безопасности, представление установленной законодательством РФ отчетности);

Основанием обработки являются требования Законодательства.

А также в составе и сроком, необходимыми для целей: выполнения бизнес-процессов Организации, предусмотренных локальными актами; предоставления компенсаций и льгот, страхования в случаях, предусмотренных ЛНА Организации;

Основанием обработки ПДН является согласие субъекта ПДн, требования законодательства об архивном хранении документов, образующихся в процессе деятельности организаций.

-Родственники и иждивенцы работников Организации

В составе и сроком, необходимыми для целей: предоставление работникам и членам их семей дополнительных гарантий, компенсаций и льгот;

Основанием обработки ПДН является согласие субъекта ПДн.

А также в составе и сроком, необходимыми для целей: выполнения возложенных законодательством на Организацию&nbsp полномочий и обязанностей как работодателя; в том числе извещение о несчастном случае с работником Организации.

Основанием обработки ПДн являются требования законодательства о расследовании несчастных случаев, об архивном хранении документов, образующихся в процессе деятельности организаций.

-Лица, ранее состоящие в трудовых отношениях с Организацией (бывшие работники Организации)

В составе и сроком, необходимыми для целей: выполнения требований нормативно правовых актов об архивном хранении документов, образующихся в процессе деятельности организаций.

Основанием обработки ПДн являются требование нормативно правовых актов об архивном хранении документов, образующихся в процессе деятельности организаций.

-Уполномоченные Контрагентов, потенциальных контрагентов Организации

В составе и сроком, необходимыми для целей: исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является контрагент, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Основанием обработки ПДн является заключаемые договоры с Контрагентом, требования законодательства об архивном хранении документов, образующихся в процессе деятельности организаций.

-Работники Контрагентов Организации

В составе и сроком, необходимыми для целей: исполнения договоров с контрагентами, выполнения работниками контрагента работ по договору.

Основанием обработки Пдн является договор с Контрагентом, содержащий поручение обработки ПДн его работников, либо согласие субъекта ПДн;

-Отправители входящей корреспонденции (официальные письма, телеграммы, почтовые отправления)

В составе и сроком, необходимыми для целей: подготовки ответа на официальные письма, телеграммы, почтовые отправления поступившие в адрес Организации;

Основанием обработки ПДн является согласие субъекта ПДн, выраженное в конклюдентной форме посредством направления письма в адрес Организации, требования законодательства об архивном хранении документов, образующихся в  процессе деятельности организаций.

Сроки обработки ПДн для каждой категории субъектов ПДн определяются Организацией с учетом:

  • установленных целей обработки ПДн;
  • сроков, указанных в договорах с субъектами ПДн;
  • сроков, указанных в согласии субъектов ПДн;
  • сроков, указанных в нормативно-правовых актах, устанавливающих сроки хранения ПДн;

Сроки обрабатываемых Организацией ПДн, перечень ПДн для каждой категории субъектов ПДн применительно к целям обработки.

4. Порядок и условия обработки ПДн в Организации, соблюдение конфиденциальности персональных данных

  • Организация осуществляет обработку ПДн на законной и справедливой основе.
  • Обработка ПДн в Организации ограничивается достижением конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
  • Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
  • Не допускается обработка ПДн по истечению установленных сроков обработки.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • При обработке ПДн обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.

В случае подтверждения факта неточности персональных данных данные подлежат актуализации оператором. При выявлении неправомерности обработки ПДн, обработка должна быть прекращена.

  • В Организации в целях информационного обеспечения с письменного согласия субъекта ПДн могут создаваться общедоступные источники ПДн. Сведения о субъекте ПДн исключаются из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
  • Организация может осуществлять обработку ПДн, разрешенных субъектом ПДн для распространения, при соблюдении положений ст. 10.1 Закона и при наличии согласия субъекта ПДн, которое оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
  • Организация не осуществляет обработку специальных категорий ПДн за исключением случаев, предусмотренных частью 2 статьи 10 Закона. При этом Организация выполняет все требования к обработке специальных категорий ПДн, предусмотренные Законом.
  • Организация не осуществляет обработку биометрических персональных данных
  • При сборе ПДн, в том числе посредством информационно- телекоммуникационной сети «Интернет», и при осуществлении хранения ПДн, Организация использует базы данных, находящиеся на территории Российской Федерации.
  • В Организации не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.
  • Организация может осуществлять обработку ПДн по поручению других операторов.
  • Также, с согласия субъекта ПДн, Организация может поручить обработку ПДн иным лицам, осуществляющим обработку ПДн. Передача и поручение обработки ПДн третьим лицам осуществляется при условии получения согласия субъекта ПДн и при наличии договора поручения на обработку персональных данных, соответствующего требованиям Закона. Ответственность перед субъектом ПДн за действия указанных лиц несет Организация.
  • Доступ к персональным данным может быть предоставлен субъекту персональных данных по его соответствующему запросу в адрес Организации.
  • Порядок реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений изложены в Положении об обработке и защите персональных данных Организации.
  • Кроме того, Организация вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
  • Организация осуществляет обработку ПДн с использованием средств автоматизации и без их использования. При этом Организация выполняет все требования к автоматизированной и неавтоматизированной обработке ПДн, предусмотренные Законом и принятыми в соответствии с ним нормативными правовыми актами.

4.19 В Организации разработаны и введены в действие локальные нормативные акты и документы, устанавливающие порядок обработки и обеспечения безопасности ПДн, которые обеспечивают соответствие требованиям Закона и принятых в соответствии с ним нормативных правовых актов.

4.20 Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также по обращению субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

5. Права и обязанности субъектов ПДн, обрабатываемых Организацией

  • Субъект ПДн принимает решение о представлении Организации его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или о представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом.
  • Субъект ПДн вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, в случае если он считает, что обработка его ПДн осуществляется с нарушением требований Закона или иным образом нарушает его права и свободы.
  • Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  • Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, предусмотренных ч. 8 ст. 14 Закона, когда такое право может быть ограничено в соответствии с федеральными законами. Для получения указанной информации субъект ПДн может отправить письменный запрос по месту нахождения Организации в порядке, установленном ч. 3.5 ст.14 Закона.
  • Субъект ПДн имеет право в любое время отозвать согласие на обработку ПДн, предоставленное Организации, в этом случае Организация вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных Законом.
  • Субъект персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вправе требовать от Организации прекращения обработки персональных данных, их уточнения, блокирования или уничтожения, а также принимать предусмотренные Законом меры по защите своих прав.

6. Права и обязанности Оператора

6.1 Организация, являясь Оператором, уведомила уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн и внесена в Реестр операторов ПДн.

6.2 Организация выполняет обязанности Оператора при сборе персональных данных, предусмотренные ст. 18 Закона при сборе ПДн.

6.3 Организация обязана прекратить обработку ПДн в следующих случаях:

  • по достижении сроков и (или) целей обработки, либо в случае утраты необходимости в достижении этих целей;
  • по требованию субъекта ПДн, если обрабатываемые в Организации персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно;
  • в случае отзыва субъектом ПДн согласия на обработку его ПДн (если персональные данные обрабатываются Центром на основании согласия субъекта ПДн);
  • устранения причины, вследствие которых осуществлялась обработка ПДн, если иное не установлено федеральным законом;
  • в случае ликвидации Организации.

6.4 Организация в соответствии со ст. 18.1 Закона определила состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актам, к которым, в частности, относятся следующие меры:

  • приказом директора Организации назначен Ответственный за организацию обработки ПДн;
  • изданы локальные акты по вопросам обработки и обеспечения безопасности ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, проведение внутреннего контроля соблюдения требований к обработке ПДн и устранение последствий нарушений;
  • утвержден перечень информационных систем, в которых осуществляется обработка ПДН;
  • утвержден перечень лиц, которым необходим доступ в информационные системы персональных данных для выполнения должностных обязанностей и лиц осуществляющих неавтоматизированную обработку ПДн;
  • осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике и иным локальным актам Организации по вопросам обработки ПДн;
  • проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона и соотношения указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей Оператора, предусмотренных настоящим Федеральным законом;
  • работники, непосредственно осуществляющие обработку ПДн ознакомлены с положениями законодательства Российской Федерации о ПДн в том числе с требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Проводится внутреннее обучение указанных работников;
  • применены организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн1;
  • обеспечен неограниченный доступ к документу, определяющему Политику Организации в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • соблюдаются обязательные требования по обеспечению записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных;
  • реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»;
  • обеспечивается непрерывное взаимодействие Организации с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.

7. Контроль и ответственность за исполнение Политики

  • Контроль выполнения требований Политики.
  • Контроль за соблюдением требований Политики осуществляет ответственный за организацию обработки ПДн в Организации.
  • Ответственность работников.
  • Работники Организации, осуществляющие обработку персональных данных, несут дисциплинарную и иную предусмотренную законодательством ответственность за несоблюдение требований Политики.
  • Наложение дисциплинарных взысканий за неисполнение или ненадлежащее исполнения требований настоящей Политики проводится в соответствии с нормами трудового законодательства Российской Федерации и в соответствии с действующими ЛНА Организации.

Публичная оферта