Утверждаю
Директор АНО «Дом Солнца»
Николаева Ю.В.
«1» февраля 2019 г.
ПОЛИТИКА
ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В АНО "ДОМ СОЛНЦА"
1. Общие положения
1.1. Настоящая Политика обработки и защиты персональных данных определяет порядок обработки и защиты персональных данных в АНО "Дом Солнца" (далее - Организация) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.2. Политика обработки персональных данных в Организации разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
1.3. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
- Устав Организации;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- согласие субъектов на обработку их персональных данных.
1.4. Действие настоящей Политики распространяется на все операции, совершаемые в Организации с персональными данными с использованием средств автоматизации или без их использования.
1.5. К настоящей Политике должен иметь доступ любой субъект персональных данных.
1.6. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Организации, в том числе лицами, участвующими в организации обеспечения безопасности персональных данных.
1.7. Настоящая Политика подлежит обязательной проверке и актуализации в случае изменения законодательства РФ о персональных данных, а также локальных нормативных актов Организации.
2. Сведения об обработке персональных данных
2.1. Организация обрабатывает персональные данные на законной и справедливой основе для осуществления возложенных законодательством на Организацию обязательств, осуществления своих прав и интересов, а также прав и интересов своих работников и третьих лиц.
2.2. Организация получает персональные данные непосредственно у субъектов персональных данных.
2.3. Обработка персональных данных в информационных системах персональных данных Организации осуществляется на основе следующих принципов:
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- обработки только тех персональных данных, которые отвечают целям их обработки и недопущения обработки персональных данных, не совместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
- уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей при невозможности устранения в информационных системах персональных данных Организации допущенных нарушений персональных данных, если иное не предусмотрено законодательством РФ.
2.4. Организация не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено законодательством РФ).
2.5. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
- своих клиентов (контрагентов) в рамках гражданских правоотношений данных лиц с Организацией;
- своих работников в рамках трудовых отношений данных лиц с Организацией.
2.6. Организация обрабатывает персональные данные своих клиентов (контрагентов) в целях:
- заключения и исполнения гражданско-правового договора с клиентом (контрагентом);
- связи с клиентами (контрагентами), в том числе однократного использования сервиса «Обратный звонок» в целях аналогичных, установленным п. 6 ч. 2 ст. 22 ФЗ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- изучения потребностей клиентов (контрагентов).
После однократного использования сервиса «Обратный звонок», в случае если договор между Организацией и клиентом не заключается, персональные данные клиента удаляются.
В случае, если между Организацией и клиентом будет заключен договор, Организация обязуется использовать персональные данные клиента исключительно для исполнения договорных обязательств.
Организация обрабатывает персональные данные клиентов (контрагентов) с их Согласия (форма которого также размещена на Сайте), предоставляемого путем указания своего имени (Ф.И.О.), контактного телефона для заказа обратного звонка, указания адреса электронной почты или отправления писем по электронной почте.
Организация обрабатывает следующие персональные данные своих клиентов (контрагентов):
- Фамилия, имя, отчество;
- Номер контактного телефона;
- Адреса электронной почты.
2.7. Организация обрабатывает персональные данные своих работников в целях:
- соблюдения требований законодательства РФ;
- содействия в трудоустройстве работников, получении ими образования, прохождения медицинского осмотра и т.д.
- обеспечения личной безопасности работников, а также принадлежащего работником и Организации имущества;
- контроля качества выполняемых работниками своих трудовых функций.
Организация обрабатывает следующие персональные данные своих работников:
- Фамилия, имя, отчество (в том числе предыдущие, в случае их изменения);
- Дата рождения;
- Место рождения;
- Информация о гражданстве;
- Адрес регистрации (места жительства);
- Реквизиты документа, удостоверяющего личность;
- Номер контактного телефона или сведения о других способах связи;
- Государственные награды, иные награды и поощрения, знаки отличия (кем выданы и когда);
- Степень родства, фамилии, имена, отчества и даты рождения близких родственников (супруга/супруги и детей);
- Места рождения, жительства и трудоустройства близких родственников;
- Идентификационный номер налогоплательщика;
- Реквизиты страхового свидетельства государственного пенсионного страхования (страховой номер индивидуального страхового счета);
- Реквизиты полиса обязательного медицинского страхования;
- Реквизиты свидетельства государственной регистрации актов гражданского состояния;
- Семейное положение, состав семьи и сведения о близких родственниках;
- Сведения о трудовой (служебной) и иной деятельности;
- Сведения о воинском учете и реквизиты документа воинского учета;
- Сведения об образованиях (наименование учебного заведения, год окончания обучения, реквизиты документа об образовании, квалификация, специальность);
- Сведения об ученой степени или ученом звании (когда присвоены, реквизиты аттестатов и дипломов);
- Наличие (отсутствие) заболевания, препятствующего устройству на работу и трудовой деятельности, подтвержденное заключением медицинского учреждения;
- Наличие (отсутствие) медицинских противопоказаний, препятствующих устройству на работу и трудовой деятельности, подтвержденное заключением медицинского учреждения;
- Сведения о размере должностного оклада, материальной помощи, поощрениях и т.д.;
- Фотография;
- Сведения о наличии (отсутствии) судимости;
- Сведения о доходах, расходах, имуществе и имущественных обязательствах;
- Сведения об оформлении пенсии, в том числе реквизиты пенсионного удостоверения;
- Реквизиты банковского счета, номер банковской карты.
2.8. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
3. Права и обязанности субъекта персональных данных и Организации
3.1. Субъект персональных данных имеет право на:
- безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных»;
- получение информации, касающейся обработки своих персональных данных, в том числе содержащей подтверждение факта обработки персональных данных Организацией; правовые основания и цели обработки персональных данных; цели и применяемые Организацией способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»; информацию об отсутствии трансграничной передачи данных;
- требование от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв данного им согласия на обработку персональных данных;
- защиту своих прав и обжалование действий (бездействий) Организации, связанных с использованием его персональных данных, в том числе, в судебном порядке.
3.2. Субъект персональных данных обязан:
- сообщать достоверную информацию о себе в объеме, необходимом для цели обработки;
- сообщать в Организацию об уточнении (обновлении, изменении) своих персональных данных.
3.3. Работники Организации, обрабатывающие персональные данные, в зависимости от целей обработки, указанных в настоящей Политике, вправе:
- получать документы, содержащие персональные данные;
- требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
3.4. Работники Организации, обрабатывающие персональные данные субъектов персональных данных, обязаны:
- обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
- рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);
- предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым в Организации;
- принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
- организовывать оперативное и архивное хранение документов Организации, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.
4. Обеспечение безопасности персональных данных
4.1. Безопасность персональных данных, обрабатываемых в информационных системах персональных данных Организации, обеспечивается реализацией правовых, организационных, и технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
4.2. В целях обеспечения безопасности персональных данных Организация:
- назначает должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- ограничивает и регламентирует состав работников, имеющих доступ к персональным данным;
- принимает нормативные локальные акты, регламентирующие организацию обработки персональных данных и защиту персональных данных в Организации, в том числе, настоящую Политику;
- знакомит работников с требованиями федерального законодательства и нормативных документов Организации по обработке и защите персональных данных;
- производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушений требования законодательства РФ, направленных на защиту персональных данных;
- обеспечивает учет и хранение материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
- определяет угрозы безопасности персональных данных при их обработке;
- разрабатывает системы защиты персональных данных;
- защищает технические средства и машинные носители персональных данных, в том числе, против вирусов;
- контролирует защищенность персональных данных;
- производит оценку эффективности применяемых мер для защиты персональных данных;
- обучает работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
- размещает технические средства обработки персональных данных в пределах охраняемой территории;
- допускает в помещения, в которых обрабатываются персональные данных, в соответствии со списком допущенных сотрудников;
- поддерживает технические средства охраны, сигнализацию помещений в состоянии постоянной готовности.
5. Заключительные положения
5.1. Иные права и обязанности Организации как оператора персональных данных, а также субъекта персональных данных, определяются законодательством Российской Федерации в области персональных данных.
5.2. Должностные лица Организации, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном федеральным законодательством РФ.