1. Общие положения
1.1. Настоящая Политика обработки персональных данных в АНО «Консалтинговое агентство социального мониторинга и массовых коммуникаций» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в АНО «Консалтинговое агентство социального мониторинга и массовых коммуникаций» (далее – Организация) персональных данных, функции Организации при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Организации требования к защите персональных данных
1.2. Политика разработана с учетом требований законодательных и иных нормативных правовых актов Российской Федерации в области обработки персональных данных.
1.3. Положения настоящей Политики служат основой для разработки организационно–распорядительных документов Организации, регламентирующих процессы обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке в Организации.
2. Законодательная и нормативно–правовая база
2.1. Настоящее Положение разработано в соответствии со следующими документами:
– Конституция Российской Федерации,
– Трудовой кодекс Российской Федерации,
– Гражданский кодекс Российской Федерации,
– Федеральный закон от 27 июля 2006 г. N 149–ФЗ "Об информации, информационных технологиях и о защите информации",
– Федеральный закон от 27 июля 2006 г. N 152–ФЗ "О персональных данных" (далее – Закон о персональных данных)
– Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»,
– Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»,
– Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
– Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
– Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»,
– Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»,
– иные нормативные правовые акты органов государственной власти Российской Федерации.
3. Основные термины, понятия и определения
В настоящем Положении используются следующие основные термины, понятия и определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Доступ к персональным данным – возможность получения персональных данных и их использование.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Обезличенные персональные данные – это персональные данные, хранимые на любом материальном носителе, в том числе в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные – персональные данные, в частности, фамилия, имя, отчество, место работы, занимаемая должность, рабочий телефон, адрес электронной почты, доступ к которым предоставлен субъектом персональных данных либо по его просьбе неограниченному кругу лиц, в том числе включенные с письменного согласия субъекта персональных данных в общедоступные источники персональных данных (в том числе справочники, адресные книги).
Организация – АНО «Консалтинговое агентство социального мониторинга и массовых коммуникаций».
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку таких данных.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
4. Принципы и цели обработки персональных данных
4.1. Организация в связи с осуществляемой деятельностью проводит обработку персональных данных работников Организации и иных субъектов персональных данных, не состоящих с Организацией в трудовых отношениях.
4.2. Обработка персональных данных в Организации осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Организации и иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
– обработка персональных данных осуществляется в Организации на законной и справедливой основе,
– обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей,
– не допускается обработка персональных данных, несовместимая с целями сбора персональных данных,
– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой,
– обработке подлежат только персональных данные, которые отвечают целям их обработки,
– содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки,
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уничтожению неполных или неточных персональных данных,
– обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено законодательством Российской Федерации.
4.3. Персональные данных в Организации обрабатываются в целях:
– обеспечения соблюдения требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Организации,
– осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Организацию, в том числе по предоставлению персональных данных в органы государственной власти;
– регулирование трудовых отношений с работниками Организации (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемых работ, обеспечение сохранности имущества, отражение информации в кадровых документах),
– исчисления и уплаты предусмотренных законодательством Российской Федерации налогов, сборов и взносов на обязательное социальное и пенсионное страхование,
– предоставления Организацией установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в СФР Российской Федерации, сведений подоходного налога в ФНС Российской Федерации,
– предоставления налоговых вычетов,
– защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных,
– подготовки, заключения, исполнения и прекращения договоров с контрагентами,
– защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных,
– подготовки, заключения, исполнения и прекращения договоров с контрагентами,
– исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации,
– осуществления прав и законных интересов Организации в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Организации или третьих лиц либо достижение общественно значимых целей,
– в иных законных целях.
5. Перечень субъектов, персональные данные которых обрабатываются в Организации
5.1. В Организации обрабатываются персональные данные следующих категорий субъектов персональных данных:
– работники Организации;
– иные субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 настоящей Политики).
6. Перечень персональных данных, обрабатываемых в Организации
6.1. Перечень персональных данных, обрабатываемых в Организации, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Организации с учетом целей обработки персональных данных, указанных в разделе 4 настоящего Положения.
6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, в Организации не допускается.
7. Функции Организации при осуществлении обработки персональных данных
Организация при осуществлении обработки персональных данных выполняет следующие функции:
7.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Организации в области обработки персональных данных.
7.2. Принимаем правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
7.3. Назначает лицо, ответственное за организацию обработки персональных данных в Организации.
7.4. Издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Организации.
7.5. Осуществляет ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Организации в области обработки персональных данных, в том числе к требованиями к защите персональных данных и обучение указанных работников.
7.6. Публикует настоящую Политику на Интернет-сайте Организации и обеспечивает неограниченный доступ к ней.
7.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при их обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.
7.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации.
7.9. Совершает иные действия, предусмотренные законодательством Российской Федерации в области обработки персональных данных.
8. Условия обработки персональных данных в Организации
8.1. Обработка персональных данных в Организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрена законодательством Российской Федерации.
8.2. Без согласия субъекта персональных данных Организация не передает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством Российской Федерации.
8.3. Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с Законом о персональных данных.
8.4. Доступ к обрабатываемым в Организации персональным данным разрешается только работникам Организации, занимающим должности, включенные на основании приказа Организации в перечень должностей Организации, при замещении которых осуществляется обработка персональных данных.
9. Перечень действий с персональными данными и способы их обработки
9.1. Организация осуществляет сбор, запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
9.2. Обработка персональных данных в Организации осуществляется следующими способами:
– неавтоматизированная обработка персональных данных,
– автоматизированная обработка персональных данных с передачей полученной информации по информационно–телекоммуникационным сетям или без таковой,
– смешанная обработка персональных данных.
10. Права субъектов персональных данных
10.1. Субъекты персональных данных имеют право:
– на полную информацию об их персональных данных, обрабатываемых в Организации;
– доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;
– уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– отзыв согласия на обработку персональных данных;
– принятие предусмотренных законом мер по защите своих прав;
– обжалование действий или бездействия Организации, осуществляемых с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
– осуществление иных прав, предусмотренных законодательством Российской Федерации.
11. Меры, принимаемые Организацией для обеспечения выполнения обязанностей оператора при обработке персональных данных
11.1. Меры, необходимые и достаточные для обеспечения выполнения Организацией обязанностей оператора, предусмотренных законодательством Российской Федерации в области обработки персональных данных, включают:
11.1.1. Назначение лица, ответственного за организацию обработки персональных данных в Организации,
11.1.2. Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных,
11.1.3. Организацию обучения и проведение методической работы с работниками Организации, занимающими должности, включенные на основании приказа Организации в перечень должностей структурных подразделений Организации, при замещении которых осуществляется обработка персональных данных.
11.1.4. Получение согласий субъектов персональных данных на обработку персональных данных, за исключением случаев, когда:
– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Организацию функций, полномочий и обязанностей;
– обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителям персональных данных, в специальных разделах,
– обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных,
11.1.5. Установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и информационно–телекоммуникационной сети Интернет без применения установленных в Организации мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных),
11.1.6. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним,
11.1.7. Осуществление внутреннего контроля соответствия обработки персональных данных Закону об обработке персональных данных и принятых в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, локальным нормативным актам Организации,
11.1.8. Иные меры, предусмотренные законодательством Российской Федерации в области обработки персональных данных.
11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с требованиями законодательных и иных нормативных актов Российской Федерации, локальных нормативных актов Организации, регламентирующих вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Организации.
11.3. Лицо, ответственное за организацию обработки персональных данных, обязано организовывать:
– внутренний контроль за соблюдением работниками Организации законодательства Российской Федерации в области обработки персональных данных, в том числе требований к защите персональных данных,
– доведение до сведения работников Организации положений законодательства Российской Федерации, локальных нормативных актов Организации в области обработки персональных данных, в том числе требований к защите персональных данных,
– контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.
12. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Организации в области персональных данных, в том числе требований к защите персональных данных
12.1. Контроль за соблюдением структурными подразделениями законодательства Российской Федерации, локальных нормативных актов Организации в области обработки персональных данных, в том числе требований к защите персональных данных, осуществляется целью проверки соответствия обработки персональных данных в Организации законодательству Российской Федерации, локальным нормативным актам Организации в области защиты персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
12.2. Внутренний контроль за соблюдением структурными подразделениями Организации законодательства Российской Федерации, локальных нормативных актов Организации в области обработки персональных данных, в том числе требований к защите персональных данных, осуществляет ответственное лицо, назначенное приказом генерального директора Организации.
12.3. Персональная ответственность за соблюдение структурными подразделениями Организации требований законодательства Российской Федерации, локальных нормативных актов Организации в области обработки персональных данных, в том числе требований к защите персональных данных, возлагается на начальников структурных подразделений Организации.