Политика в отношении обработки персональных данных
1. Общие положения
Настоящая Политика в отношении обработки персональных данных (далее — Политика) принята и действует в Автономной некоммерческой организации социальной помощи и социального обслуживания населения «Аэлита» (далее — Оператор).
Политика определяет цели и общие принципы обработки персональных данных, а также реализуемые Оператором меры защиты персональных данных.
Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней неограниченного круга лиц путем размещения Политики на сайте Оператора и (или) страницах Оператора в социальных сетях.
Политика действует бессрочно до ее отмены или замены новой версией документа. Оператор вправе изменять (обновлять) настоящую Политику в случае изменения требований законодательства или по мере необходимости. В случае изменения настоящей Политики Оператор размещает на своем сайте и страницах в социальных сетях соответствующее информационное сообщение. Продолжая пользоваться сайтом Оператора или страницами Оператора в социальных сетях после размещения вышеуказанного информационного сообщения, субъект персональных данных тем самым подтверждает свое согласие на обработку его персональных данных с учетом внесенных в Политику изменений.
В Политике используются термины и определения в тех значениях, как они определены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» и иных нормативных правовых актах.
Обработка персональных данных осуществляется Оператором с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и настоящей Политикой.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, которые определяются уставными документами Оператора, фактически осуществляемой Оператором деятельностью, конкретными взаимоотношениями между Оператором и субъектом персональных данных. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.
Настоящая Политика в отношении обработки персональных данных (далее — Политика) принята и действует в Автономной некоммерческой организации социальной помощи и социального обслуживания населения «Аэлита» (далее — Оператор).
Политика определяет цели и общие принципы обработки персональных данных, а также реализуемые Оператором меры защиты персональных данных.
Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней неограниченного круга лиц путем размещения Политики на сайте Оператора и (или) страницах Оператора в социальных сетях.
Политика действует бессрочно до ее отмены или замены новой версией документа. Оператор вправе изменять (обновлять) настоящую Политику в случае изменения требований законодательства или по мере необходимости. В случае изменения настоящей Политики Оператор размещает на своем сайте и страницах в социальных сетях соответствующее информационное сообщение. Продолжая пользоваться сайтом Оператора или страницами Оператора в социальных сетях после размещения вышеуказанного информационного сообщения, субъект персональных данных тем самым подтверждает свое согласие на обработку его персональных данных с учетом внесенных в Политику изменений.
В Политике используются термины и определения в тех значениях, как они определены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» и иных нормативных правовых актах.
Обработка персональных данных осуществляется Оператором с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и настоящей Политикой.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, которые определяются уставными документами Оператора, фактически осуществляемой Оператором деятельностью, конкретными взаимоотношениями между Оператором и субъектом персональных данных. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.
2. Правовые основания обработки персональных данных
Обработка персональных данных осуществляется Оператором на законной и справедливой основе, на основании следующих документов:
Обработка персональных данных осуществляется Оператором на законной и справедливой основе, на основании следующих документов:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
- Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;
- Устав Автономной некоммерческой организации социальной помощи и социального обслуживания населения «Аэлита»;
- договоры, заключаемые между Оператором и субъектом персональных данных;
- согласие на обработку и распространение персональных данных.
3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Содержание и объем обрабатываемых персональных данных соответствует целям обработки и определяется характером отношений между Оператором и субъектом персональных данных.
К категориям субъектов, чьи персональные данные могут обрабатываться Оператором, относятся:
Обработка специальных категорий персональных данных осуществляется Оператором в строгом соответствии с требованиями законодательства.
Обработка биометрических персональных данных Оператором не осуществляется.
Оператор обрабатывает технические данные об использовании субъектом персональных данных сайта Оператора (автоматически передаваемые устройствами, используемыми субъектом персональных данных для заполнения соответствующих форм (полей) на сайте Оператора, в том числе технические характеристики устройств, IP-адрес, информацию в файлах «cookies», информацию о браузере, дата и время пользования сайтом, адреса запрашиваемых страниц сайта Оператора и иную подобную информацию) исключительно в целях обеспечения функционирования и безопасности сайта, а также улучшения его качества.
Содержание и объем обрабатываемых персональных данных соответствует целям обработки и определяется характером отношений между Оператором и субъектом персональных данных.
К категориям субъектов, чьи персональные данные могут обрабатываться Оператором, относятся:
- работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- контрагенты Оператора (физические лица);
- представители/работники контрагентов Оператора (юридических лиц);
- лица, получающие услуги Оператора в рамках его уставной деятельности;
- благотворители;
- добровольцы.
Обработка специальных категорий персональных данных осуществляется Оператором в строгом соответствии с требованиями законодательства.
Обработка биометрических персональных данных Оператором не осуществляется.
Оператор обрабатывает технические данные об использовании субъектом персональных данных сайта Оператора (автоматически передаваемые устройствами, используемыми субъектом персональных данных для заполнения соответствующих форм (полей) на сайте Оператора, в том числе технические характеристики устройств, IP-адрес, информацию в файлах «cookies», информацию о браузере, дата и время пользования сайтом, адреса запрашиваемых страниц сайта Оператора и иную подобную информацию) исключительно в целях обеспечения функционирования и безопасности сайта, а также улучшения его качества.
4. Порядок и условия обработки персональных данных
Оператор осуществляет обработку персональных данных смешанным способом, как с использованием средств автоматизации, так и без таковых.
Оператором осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.
Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено законом. Форма согласия на обработку персональных данных разрабатывается Оператором в соответствии с требованиями ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором в строгом соответствии с требованиями ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Форма согласия на такую обработку разрабатывается Оператором в соответствии с требованиями Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.
При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации.
Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление случаев неправомерной обработки персональных данных.
Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. Вышеуказанные документы могут определять, в частности:
В случаях, прямо не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий публичной оферты, проставления соответствующих отметок, заполнения полей в формах (в т.ч. электронных), бланках, или оформлено в письменной форме в соответствии с законодательством.
Оператор обязан передавать персональные данные органам дознания и предварительного следствия, иным уполномоченным органам в соответствии с их компетенцией и исключительно по основаниям, предусмотренным действующим законодательством Российской Федерации.
Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
Оператор осуществляет обработку персональных данных смешанным способом, как с использованием средств автоматизации, так и без таковых.
Оператором осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.
Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено законом. Форма согласия на обработку персональных данных разрабатывается Оператором в соответствии с требованиями ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором в строгом соответствии с требованиями ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Форма согласия на такую обработку разрабатывается Оператором в соответствии с требованиями Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.
При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации.
Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление случаев неправомерной обработки персональных данных.
Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. Вышеуказанные документы могут определять, в частности:
- цели, условия, сроки обработки персональных данных;
- обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;
- права, обязанности и ответственность сторон, касающиеся обработки персональных данных.
В случаях, прямо не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий публичной оферты, проставления соответствующих отметок, заполнения полей в формах (в т.ч. электронных), бланках, или оформлено в письменной форме в соответствии с законодательством.
Оператор обязан передавать персональные данные органам дознания и предварительного следствия, иным уполномоченным органам в соответствии с их компетенцией и исключительно по основаниям, предусмотренным действующим законодательством Российской Федерации.
Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
- назначение работников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
- издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей информационных систем персональных данных;
- обеспечение безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
- ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
- учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
- резервное копирование информации для возможности восстановления;
- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
5. Права субъектов персональных данных
Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору любым доступным способом, позволяющим удостовериться в его личности.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору любым доступным способом, позволяющим удостовериться в его личности.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. Права и обязанности Оператора
Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.
Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и данным лицом гражданско-правового договора.
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут установленную законодательством материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность.
На сайте Оператора или страницах Оператора в социальных сетях могут быть размещены ссылки на сторонние сайты и службы, деятельность которых Оператор не контролирует. Оператор не несет ответственности за безопасность персональных данных, предоставленных субъектом персональных данных при переходе по данным ссылкам.
Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.
Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и данным лицом гражданско-правового договора.
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут установленную законодательством материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность.
На сайте Оператора или страницах Оператора в социальных сетях могут быть размещены ссылки на сторонние сайты и службы, деятельность которых Оператор не контролирует. Оператор не несет ответственности за безопасность персональных данных, предоставленных субъектом персональных данных при переходе по данным ссылкам.