Политика обработки персональных данных

Главная > Политика обработки персональных данных
Политика обработки персональных данных автономной некоммерческой организации «Камчатский выставочно-туристический центр»

1. Общие положения

1.1. Настоящая политика в отношении обработки персональных данных (далее – Политика) разработана автономной некоммерческой организацией «Камчатский выставочно-туристический центр» (далее – КВТЦ, Оператор) в целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

1.2. Политика определяет общий порядок, принципы и условия обработки персональных данных Оператором и обеспечивает защиту прав субъектов персональных данных при обработке их персональных данных.

1.3. Основные понятия, используемые в Политике:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор персональных данных (Оператор) – организация, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
  • субъект персональных данных – физическое лицо, персональные данные которого обрабатываются;
  • материальный носитель персональных данных – материальный носитель (дела, журналы учета, договоры, машинные носители информации) с зафиксированной на нем в любой форме информацией, содержащей персональные данные субъектов персональных данных;
  • конфиденциальность персональных данных – обязательное для Оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные.

1.4. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.5. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;

- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

1.6. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.8. Оператор персональных данных вправе:

- отстаивать свои интересы в суде;

- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

1.8. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных.

1.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.

1.10. Политика обработки персональных данных размещается на официальном сайте Оператора в информационно-телекоммуникационной сети Интернет.

2. Цели сбора персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Оператор обрабатывает персональные данные в целях:

  • организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
  • ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами;
  • заключения, исполнения и прекращения гражданско-правовых договоров;
  • исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
  • заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является:

– совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

  • Закон о персональных данных и принятые на его основе нормативные правовые акты, регулирующие отношения, связанные с обработкой персональных данных;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • устав Оператора;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Категории субъектов персональных данных, данные которых обрабатываются Оператором:

1) работники Оператора, уволенные работники, кандидаты на трудоустройство (далее – работники), а также члены семей работников;

2) контрагенты Оператора (физические лица);

3) представители/работники контрагентов Оператора (юридических лиц).

4.2. В отношении работников обрабатываются персональные данные в объеме:

  • фамилия, имя, отчество;
  • дата рождения;
  • место рождения;
  • адрес регистрации;
  • адрес фактического места жительства;
  • гражданство;
  • серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
  • образование, квалификация;
  • серия и номер документа об образовании/квалификации, сведения о выдаче указанного документа и выдавшем его образовательном учреждении;
  • сведения о повышении квалификации, о профессиональной переподготовке;
  • сведения о трудовой деятельности;
  • профессия, должность;
  • стаж работы;
  • сведения о семейном положении, наличии детей;
  • данные страхового свидетельства государственного пенсионного страхования;
  • идентификационный номер налогоплательщика;
  • сведения о доходах (за 2 предыдущих года для расчета пособий);
  • сведения о воинском учете;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения о социальных гарантиях;
  • сведения о состоянии здоровья, влияющие на выполнение трудовой функции;
  • банковские реквизиты счета;
  • сведения о заработной плате;
  • содержание трудового договора;
  • контактный телефон;
  • адрес электронной почты.

4.3. Персональные данные членов семей работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:

  • фамилия, имя, отчество;
  • дата рождения;
  • место рождения;
  • серия и номер документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
  • серия и номер свидетельства о рождении ребенка, сведения о выдаче указанного документа и выдавшем его органе;
  • серия и номер свидетельства о заключении брака, сведения о выдаче указанного документа и выдавшем его органе.

4.4. В отношении контрагентов (физических лиц) обрабатываются персональные данные, необходимые для заключения договоров и осуществления взаиморасчетов по договорам, в объеме:

  • фамилия, имя, отчество;
  • дата рождения;
  • место рождения;
  • адрес регистрации;
  • гражданство;
  • серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
  • данные страхового свидетельства государственного пенсионного страхования;
  • идентификационный номер налогоплательщика;
  • сведения о постановке на учёт в качестве физического лица, являющегося налогоплательщиком налога на профессиональный доход;
  • банковские реквизиты счета;
  • контактный телефон;
  • адрес электронной почты.

Дополнительно для индивидуальных предпринимателей обрабатываются данные:

  • адрес регистрации индивидуального предпринимателя;
  • почтовый адрес;
  • ОГРНИП;
  • ОКПО.

4.5. При использовании средств видеонаблюдения в целях обеспечения порядка и безопасности в служебных помещениях и сохранности имущества Оператор осуществляет обработку персональных данных работников в объеме – видеоизображения.

4.5.1. Для достижения цели Оператор осуществляет автоматизированную обработку персональных данных.

Срок обработки и хранения видеозаписей составляет не более трех месяцев, после этого срока запись самоперезаписывается. Если видеозапись используется в целях разрешения конфликтной ситуации или расследования выявленных нарушений, хранение видеозаписи и аудиозаписи осуществляется в течение срока исковой давности. При этом видеозапись переносится на съемный носитель информации, зарегистрированный в установленном Оператором порядке.

4.5.2. Для работников, участников мероприятий, контрагентов в целях обеспечения личной безопасности осуществляется обработка иных персональных данных в объеме – видеоизображения. Для достижения цели Оператор осуществляет автоматизированную обработку персональных данных.

Сроки обработки и хранения видеозаписи составляет не более трех месяцев, после этого срока запись самоперезаписывается. В случае возникновения внештатной ситуации, хранение видеозаписи осуществляется в течение срока исковой давности. При этом видеозапись переносятся на съемный носитель информации, зарегистрированный в установленном Оператором порядке.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных.

5.2. Оператор не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласия, за исключением случаев, предусмотренных статьей 6 Закона о персональных данных.

5.3. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

5.4. Письменное согласие субъекта персональных данных должно включать:

  • фамилию, имя, отчество;
  • адрес регистрации субъекта персональных данных;
  • номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование и адрес Оператора;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие;
  • способ отзыва согласия на обработку персональных данных;
  • подпись субъекта персональных данных.

5.5. Обработка персональных данных осуществляется Оператором следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

5.6. Оператор организует обработку персональных данных в следующем порядке:

1) назначает ответственного за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;

2) издает настоящую Политику, локальные акты по вопросам обработки персональных данных;

3) применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;

4) осуществляет внутренний контроль соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;

5) осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, определяет соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

6) знакомит работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальных нормативных актов по вопросам обработки персональных данных, и (или) организует обучение указанных работников.

5.7. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры, в том числе:

1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;

4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учитывает машинные носители персональных данных;

6) обнаруживает факты несанкционированного доступа к персональным данным и принимает меры;

7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

8) устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

5.8. При обработке персональных данных Оператор выполняет, в частности, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.9. В целях обеспечения сохранности и конфиденциальности персональных данных все операции с персональными данными должны выполняться только работниками Оператора, осуществляющими данную работу в соответствии с трудовыми обязанностями.

5.10. Оператор получает персональные данные непосредственно от субъектов персональных данных или их представителей, наделенных соответствующими полномочиями. Согласия субъекта на получение его персональных данных от третьих лиц не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с Оператором, а также в иных случаях, установленных Законом о персональных данных.

5.11. Запрещается хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе, оставлять металлические шкафы открытыми в случае выхода работника из рабочего помещения.

5.12. В электронном виде документы, содержащие персональные данные, разрешается хранить в специализированных базах данных или в специально отведенных для этого директориях с ограничением и разграничением доступа. Копирование таких данных запрещено.

5.13. При увольнении работника, имеющего доступ к персональным данным, прекращении доступа к персональным данным, документы и иные носители, содержащие персональные данные, сдаются работник обязан передать своему непосредственному руководителю.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:

- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;

- в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

6.6. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных.

6.7. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.8. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.

6.9. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.

6.10. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:

- на бумажном носителе - уничтожаются путем измельчения в шредере/сжигания и т. п.;

- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

7. Заключительные положения

7.1. Политика является общедоступным документом и размещается на официальном сайте Оператора в информационно-телекоммуникационной сети Интернет.

7.2. Ответственность лиц, имеющих доступ к персональным данным, определяется законодательством Российской Федерации.