1. Общие положения

 

1.1. Настоящая Политика обработки персональных данных в АНО «Консалтинговое агентство социального мониторинга и массовых коммуникаций» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в АНО «Консалтинговое агентство социального мониторинга и массовых коммуникаций» (далее – Организация) персональных данных, функции Организации при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Организации требования к защите персональных данных

1.2. Политика разработана с учетом требований законодательных и иных нормативных правовых актов Российской Федерации в области обработки персональных данных.

1.3. Положения настоящей Политики служат основой для разработки организационно–распорядительных документов Организации, регламентирующих процессы обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке в Организации.

 

2. Законодательная и нормативно–правовая база

 

 2.1. Настоящее Положение разработано в соответствии со следующими документами:

– Конституция Российской Федерации,

– Трудовой кодекс Российской Федерации,

– Гражданский кодекс Российской Федерации,

– Федеральный закон от 27 июля 2006 г. N 149–ФЗ "Об информации, информационных технологиях и о защите информации",

– Федеральный закон от 27 июля 2006 г. N 152–ФЗ "О персональных данных" (далее – Закон о персональных данных)

– Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»,

– Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»,

– Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,

– Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,

– Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»,

– Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»,

– иные нормативные правовые акты органов государственной власти Российской Федерации.

 

3. Основные термины, понятия и определения

 

В настоящем Положении используются следующие основные термины, понятия и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Доступ к персональным данным – возможность получения персональных данных и их использование.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Обезличенные персональные данные – это персональные данные, хранимые на любом материальном носителе, в том числе в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, в частности, фамилия, имя, отчество, место работы, занимаемая должность, рабочий телефон, адрес электронной почты, доступ к которым предоставлен субъектом персональных данных либо по его просьбе неограниченному кругу лиц, в том числе включенные с письменного согласия субъекта персональных данных в общедоступные источники персональных данных (в том числе справочники, адресные книги).

Организация – АНО «Консалтинговое агентство социального мониторинга и массовых коммуникаций».

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку таких данных.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

4. Принципы и цели обработки персональных данных

 

4.1. Организация в связи с осуществляемой деятельностью проводит обработку персональных данных работников Организации и иных субъектов персональных данных, не состоящих с Организацией в трудовых отношениях.

4.2. Обработка персональных данных в Организации осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Организации и иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

– обработка персональных данных осуществляется в Организации на законной и справедливой основе,

– обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей,

– не допускается обработка персональных данных, несовместимая с целями сбора персональных данных,

– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой,

– обработке подлежат только персональных данные, которые отвечают целям их обработки,

– содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки,

– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уничтожению неполных или неточных персональных данных,

– обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено законодательством Российской Федерации.

4.3. Персональные данных в Организации обрабатываются в целях:

– обеспечения соблюдения требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Организации,

– осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Организацию, в том числе по предоставлению персональных данных в органы государственной власти;

– регулирование трудовых отношений с работниками Организации (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемых работ, обеспечение сохранности имущества, отражение информации в кадровых документах),

– исчисления и уплаты предусмотренных законодательством Российской Федерации налогов, сборов и взносов на обязательное социальное и пенсионное страхование,

– предоставления Организацией установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в СФР Российской Федерации, сведений подоходного налога в ФНС Российской Федерации,

– предоставления налоговых вычетов,

– защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных,

– подготовки, заключения, исполнения и прекращения договоров с контрагентами,

– защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных,

– подготовки, заключения, исполнения и прекращения договоров с контрагентами,

– исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации,

– осуществления прав и законных интересов Организации в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Организации или третьих лиц либо достижение общественно значимых целей,

– в иных законных целях.

 

5. Перечень субъектов, персональные данные которых обрабатываются в Организации

 

5.1. В Организации обрабатываются персональные данные следующих категорий субъектов персональных данных:

– работники Организации;

– иные субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 настоящей Политики).

 

6. Перечень персональных данных, обрабатываемых в Организации

 

6.1. Перечень персональных данных, обрабатываемых в Организации, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Организации с учетом целей обработки персональных данных, указанных в разделе 4 настоящего Положения.

6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, в Организации не допускается.

 

7. Функции Организации при осуществлении обработки персональных данных

 

Организация при осуществлении обработки персональных данных выполняет следующие функции:

7.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Организации в области обработки персональных данных.

7.2. Принимаем правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.

7.3. Назначает лицо, ответственное за организацию обработки персональных данных в Организации.

7.4. Издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Организации.

7.5. Осуществляет ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Организации в области обработки персональных данных, в том числе к требованиями к защите персональных данных и обучение указанных работников.

7.6. Публикует настоящую Политику на Интернет-сайте Организации и обеспечивает неограниченный доступ к ней.

7.7. Сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при их обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.

7.8. Прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации.

7.9. Совершает иные действия, предусмотренные законодательством Российской Федерации в области обработки персональных данных.

 

8. Условия обработки персональных данных в Организации

 

8.1. Обработка персональных данных в Организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрена законодательством Российской Федерации.

8.2. Без согласия субъекта персональных данных Организация не передает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством Российской Федерации.

8.3. Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с Законом о персональных данных.

8.4. Доступ к обрабатываемым в Организации персональным данным разрешается только работникам Организации, занимающим должности, включенные на основании приказа Организации в перечень должностей Организации, при замещении которых осуществляется обработка персональных данных.

 

9. Перечень действий с персональными данными и способы их обработки

 

9.1. Организация осуществляет сбор, запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

9.2. Обработка персональных данных в Организации осуществляется следующими способами:

– неавтоматизированная обработка персональных данных,

– автоматизированная обработка персональных данных с передачей полученной информации по информационно–телекоммуникационным сетям или без таковой,

– смешанная обработка персональных данных.

 

10. Права субъектов персональных данных

 

10.1. Субъекты персональных данных имеют право:

– на полную информацию об их персональных данных, обрабатываемых в Организации;

– доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;

– уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

– отзыв согласия на обработку персональных данных;

– принятие предусмотренных законом мер по защите своих прав;

– обжалование действий или бездействия Организации, осуществляемых с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

– осуществление иных прав, предусмотренных законодательством Российской Федерации.

 

11. Меры, принимаемые Организацией для обеспечения выполнения обязанностей оператора при обработке персональных данных

 

11.1. Меры, необходимые и достаточные для обеспечения выполнения Организацией обязанностей оператора, предусмотренных законодательством Российской Федерации в области обработки персональных данных, включают:

11.1.1. Назначение лица, ответственного за организацию обработки персональных данных в Организации,

11.1.2. Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных,

11.1.3. Организацию обучения и проведение методической работы с работниками Организации, занимающими должности, включенные на основании приказа Организации в перечень должностей структурных подразделений Организации, при замещении которых осуществляется обработка персональных данных.

11.1.4. Получение согласий субъектов персональных данных на обработку персональных данных, за исключением случаев, когда:

– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Организацию функций, полномочий и обязанностей;

– обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителям персональных данных, в специальных разделах,

– обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных,

11.1.5. Установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и информационно–телекоммуникационной сети Интернет без применения установленных в Организации мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных),

11.1.6. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним,

11.1.7. Осуществление внутреннего контроля соответствия обработки персональных данных Закону об обработке персональных данных и принятых в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, локальным нормативным актам Организации,

11.1.8. Иные меры, предусмотренные законодательством Российской Федерации в области обработки персональных данных.

11.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с требованиями законодательных и иных нормативных актов Российской Федерации, локальных нормативных актов Организации, регламентирующих вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Организации.

11.3. Лицо, ответственное за организацию обработки персональных данных, обязано организовывать:

– внутренний контроль за соблюдением работниками Организации законодательства Российской Федерации в области обработки персональных данных, в том числе требований к защите персональных данных,

– доведение до сведения работников Организации положений законодательства Российской Федерации, локальных нормативных актов Организации в области обработки персональных данных, в том числе требований к защите персональных данных,

– контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

 

12. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Организации в области персональных данных, в том числе требований к защите персональных данных

 

12.1. Контроль за соблюдением структурными подразделениями законодательства Российской Федерации, локальных нормативных актов Организации в области обработки персональных данных, в том числе требований к защите персональных данных, осуществляется целью проверки соответствия обработки персональных данных в Организации законодательству Российской Федерации, локальным нормативным актам Организации в области защиты персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.

12.2. Внутренний контроль за соблюдением структурными подразделениями Организации законодательства Российской Федерации, локальных нормативных актов Организации в области обработки персональных данных, в том числе требований к защите персональных данных, осуществляет ответственное лицо, назначенное приказом генерального директора Организации.

12.3. Персональная ответственность за соблюдение структурными подразделениями Организации требований законодательства Российской Федерации, локальных нормативных актов Организации в области обработки персональных данных, в том числе требований к защите персональных данных, возлагается на начальников структурных подразделений Организации.