Политика в отношении обработки персональных данных | Чебоксарская детская музыкальная школа №5 им. Ф. М. Лукина

ПРИЛОЖЕНИЕ

к приказу от 07.04.2025 от №01-09/200

Политика в отношении обработки персональных данных

Общие положения

1. Настоящая Политика Муниципального бюджетного учреждения дополнительного образования «Чебоксарская детская музыкальная школа №5 имени Филиппа Мироновича Лукина» (далее — Оператор) в отношении обработки персональных данных физических лиц (далее — Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»), постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Политика определяет:

— основные вопросы, связанные с обработкой персональных данных Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;

— принципы, порядок и условия обработки персональных данных работников Оператора и иных лиц, чьи персональные данные обрабатываются Оператором, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Настоящей Политикой должны руководствоваться все сотрудники Оператора, осуществляющие обработку персональных данных или имеющие к ним доступ.

Основные понятия

В настоящей Политике применены основные понятия: Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор – Муниципальное бюджетное учреждение дополнительного образования» Чебоксарская детская музыкальная школа №5 имени Филиппа Мироновича Лукина», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Смешанная обработка персональных данных — способ обработки персональных данных, который предполагает сочетание как автоматизированной, так и неавтоматизированной обработки персональных данных;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных —действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Правовые основания обработки персональных данных

Основанием обработки персональных данных Оператором являются следующие нормативные акты и документы:

— Конституция Российской Федерации;

— Налоговый кодекс Российской Федерации;

— Гражданский кодекс Российской Федерации;

— Трудовой кодекс Российской Федерации;

— Бюджетный кодекс Российской Федерации;

— Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации»;

— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

— Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;

— договоры, заключаемые между Оператором и субъектом персональных данных;

— договоры поручения, заключаемые между Оператором и другим юридическим лицом, на обработку персональных данных;

— согласия субъектов персональных данных на обработку персональных данных.

В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

4. Содержание и объем обрабатываемых персональных данных

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.2. Содержание и объем обрабатываемых персональных данных соответствует заявленными целям обработки.

4.2.1. Ведение кадрового и бухгалтерского учета.

Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, сведения о состоянии здоровья.

Категории субъектов, персональные данные которых обрабатываются: работники, соискатели, родственники работников, уволенные работники, иные категории субъектов персональных данных, персональные данные которых обрабатываются, государственные гражданские служащие, уволенные государственные гражданские служащие, близкие родственники государственных гражданских служащих.

Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Способы обработки: смешанная; с передачей по внутренней сети юридического лица, с передачей по сети Интернет.

4.2.2. Обеспечение соблюдения трудового законодательства.

Обрабатываемые персональные данные: фамилия, имя, отчество (прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения), год рождения, месяц рождения, дата рождения, место рождения, сведения о гражданстве (в том числе предыдущее гражданство, иные гражданства), семейное положение, состав семьи, сведения о родителях, детях, сестрах, братьях, о супруге (бывшем или бывшей супруге), супругах братьев и сестер, братьях и сестрах супругов (дата рождения, место рождения, адрес регистрации (фактического проживания), гражданство, место работы (наименование и адрес организации), должность), сведения о близких родственниках (родителях, братьях, сестрах, детях), а также супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (при его наличии), с какого времени проживают за границей), социальное положение, имущественное положение, пол, адрес электронной почты, адрес места жительства, адрес и дата регистрации, номер телефона или сведения о других способах связи, СНИЛС, ИНН, реквизиты полиса обязательного медицинского страхования, сведения об образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, направление подготовки или специальность по документу об образовании), сведения об ученой степени, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, государственные награды, иные награды и знаки отличия (кем награжден и когда), классный чин государственной гражданской службы Российской Федерации, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское или специальное звание, классный чин правоохранительной службы, сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, сведения о пребывании за границей (когда, где, с какой целью), допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата), личная фотография, биометрические данные, сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору, сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания, сведения об образовании, сведения о состоянии здоровья, справка о сумме заработной платы, иных выплат и вознаграждений за два календарных года, предшествующих году прекращения работы (службы, иной деятельности) или году обращения за справкой о сумме заработной платы, иных выплат и вознаграждений, и текущий календарный год, на которую были начислены страховые взносы, и о количестве календарных дней, приходящихся в указанном периоде на периоды временной нетрудоспособности, отпуска по беременности и родам, отпуска по уходу за ребенком, период освобождения работника от работы с полным или частичным сохранением заработной платы в соответствии с законодательством Российской Федерации, если на сохраняемую заработную плату за этот период страховые взносы в Фонд социального страхования Российской Федерации не начислялись, сведения о льготной категории, сведения о задолженности по налогам и сборам, информация о наличии либо отсутствии судимости, сведения о фактах привлечения к административной и (или) уголовной ответственности и (или) уголовному преследованию (в каком году (годах), по какой статье (статьям)), сроках снятия (погашения) судимости (судимостей), сроках и основаниях прекращения уголовного преследования, сведения о наличии (отсутствии) приговора (приговоров) суда (судов) и (или) постановления (постановлений) следственных органов о прекращении уголовного дела или уголовного преследования о лишении права заниматься видами деятельности с участием несовершеннолетних, а также о судебных решениях, которыми отменялись, изменялись, признавались незаконными или необоснованными приговор (приговоры) либо постановление (постановления) о прекращении уголовного дела или уголовного преследования.

Категории субъектов, персональные данные которых обрабатываются: работники, родственники работников, уволенные работники, иные категории субъектов персональных данных, персональные данные которых обрабатываются, близкие родственники работников.

4.2.3. Обеспечение соблюдения законодательства РФ о противодействии коррупции.

Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации).

4.4.4. Оказание государственных услуг и осуществление государственных функций (полномочий), предусмотренных законодательством РФ.

Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность.

Категории субъектов, персональные данные которых обрабатываются: иные категории субъектов персональных данных, персональные данные которых обрабатываются, получатели государственных услуг, лица, обратившиеся за реализацией возложенных законодательством на Оператора функций (полномочий).

Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, использование, передача (предоставление, доступ), удаление, уничтожение.

4.4.5. Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением.

Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес электронной почты, адрес места жительства, номер телефона, сведения об образовании.

Категории субъектов, персональные данные которых обрабатываются: учащиеся, студенты.

Перечень действий с персональными данными: сбор, хранение, удаление, уничтожение.

Способы обработки: смешанная; без передачи по внутренней сети юридического лица, без передачи по сети Интернет.

4.5.6. Рассмотрение обращений граждан.

Обрабатываемые персональные данные: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, адрес электронной почты, адрес места жительства, номер телефона, данные документа, удостоверяющего личность, данные документа, удостоверяющего личность за пределами Российской Федерации.

Категории субъектов, персональные данные которых обрабатываются: иные категории субъектов персональных данных, персональные данные которых обрабатываются, посетители сайта, граждане, обратившиеся с заявлением, обращениями, жалобами.

Перечень действий с персональными данными: сбор, запись, накопление, передача (предоставление, доступ), удаление, уничтожение.

4.6. Персональные данные, обрабатываемые в целях, указанных в согласии субъекта персональных данных на обработку персональных данных, обрабатываются в объемах, указанных в согласии.

Порядок и условия обработки персональных данных

5.1. Принципы обработки персональных данных:

Обработка персональных данных осуществляется Оператором в соответствии со следующими принципами:

— обработка персональных данных осуществляется на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— обработке подлежат только персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

— при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях обеспечения соблюдения законодательства о государственной гражданской службе в Российской Федерации, не требуется при обработке персональных данных в соответствующих целях на основании Федерального закона «О государственной гражданской службе» и Федерального закона «О системе государственной службы Российской Федерации», в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных», кроме случаев, предусмотренных пунктом 5.6. настоящей Политики.

5.3. Согласие на обработку персональных данных субъектов персональных данных, чьи данные обрабатываются в целях рассмотрения обращений граждан, не требуется при обработке персональных данных в случаях их обработки в соответствии с положениями законодательства об обращениях граждан в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных».

5.4. Согласие на обработку персональных данных субъектов персональных данных, чьи данные обрабатываются в целях исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг, не требуется при обработке персональных данных в случаях их обработки в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных»;

5.5. В случае, при котором предоставление персональных данных в соответствии с федеральным законом и (или) получение Оператором согласия на обработку персональных данных являются обязательными, сотрудник Оператора, осуществляющий получение персональных данных, обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

5.6. Необходимо получить согласие субъекта персональных данных на обработку его персональных данных:

при передаче персональных данных третьей стороне (на основании письменного согласия субъекта персональных данных Оператор может поручить обработку персональных данных третьим лицам. Условием договора об оказании услуг по обработке персональных данных третьими лицами является обязанность обеспечения этими лицами конфиденциальности персональных данных и безопасности персональных данных при их обработке, за исключением случаев, предусмотренных федеральными законами);

при распространении (в том числе при размещении на официальном сайте Оператора) персональных данных, за исключением персональных данных, подлежащих опубликованию в соответствии с федеральными законами;

при принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

5.7. Согласие на обработку персональных данных субъекта необходимо получать непосредственно у субъекта персональных данных в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом.

5.8. Организация сбора и хранения письменных согласий на обработку персональных данных субъектов персональных данных возлагается на Оператора.

5.9. Объем и содержание обрабатываемых персональных данных регламентируется Федеральным законом «О персональных данных», другими федеральными законами, письменным согласием гражданина.

5.10. Оператор вправе получать и обрабатывать данные о частной жизни субъекта персональных данных только с его письменного согласия.

5.11. Использование, предоставление и распространение персональных данных осуществляется в соответствии с федеральными законами, на основании которых они обрабатываются.

Возможность использовать персональные данные имеют исключительно сотрудники, допущенные к персональным данным.

5.12. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.

5.13. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных». В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с статьей 6 Федерального закона «О персональных данных», обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».

5.14. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

5.15. Трансграничная передача персональных данных Оператором не осуществляется.

5.16. Обработка биометрических персональных данных Оператором не осуществляется.

5.17. В зависимости от конкретной цели обработки персональных данных, обрабатываемых в случаях, предусмотренных раздела 4 настоящей Политики, Оператор может совершать иные действия, предусмотренные федеральными законами, на основании которых они обрабатываются.

5.18. Персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.

5.19. Обработка персональных данных осуществляется с момента их получения Оператором и прекращается:

— по достижении целей обработки персональных данных;

— в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

5.20. Срок хранения персональных данных в электронном виде должен соответствовать сроку хранения бумажных оригиналов.

5.21. Сроки хранения персональных данных, содержащихся на материальных носителях информации, устанавливаются в соответствии нормативной правовой документацией Оператора.

Права субъекта персональных данных

6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

— подтверждение факта обработки персональных данных Оператором;

— правовые основания и цели обработки персональных данных;

— применяемые Оператором способы обработки персональных данных;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения Оператором;

— порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

— иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.

6.2. Информация, указанная в пункте 6.1 настоящей Политики:

— должна быть представлена субъекту персональных данных в доступной форме и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных;

— представляется субъекту персональных данных или его представителю, действующего на основании доверенности, оформленной в соответствии с действующим законодательством Российской Федерации, при обращении либо при получении запроса, оформленного в соответствии с требованиями части 3 статьи 14 Федерального закона «О персональных данных», от субъекта персональных данных или его представителя, действующего на основании доверенности, оформленной в соответствии с действующим законодательством Российской Федерации;

— предоставляется Оператором субъекту персональных данных или его представителю, действующего на основании доверенности, оформленной в соответствии с действующим законодательством Российской Федерации, в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в случаях, предусмотренных часть 8 статьи 14 Федерального закона «О персональных данных».

Обязанности Оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

7.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

7.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

7.3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

7.5. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

7.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

7.7. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.8. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 7.1. — 7.7. настоящих Правил, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7.9. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных по утвержденной Оператором форме.

Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

Оператор устанавливает следующие меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

— издание локальных актов по вопросам обработки и защиты персональных данных;

— назначение ответственного за организацию обработки персональных данных при их обработке Оператором (далее – Ответственный за организацию обработки ПДн);

— определение лиц, уполномоченных на обработку персональных данных Оператором и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима обработки персональных данных;

— ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных сотрудников;

— получение согласий на обработку персональных данных у субъектов персональных данных (их законных представителей) за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;

— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

— опубликование на официальном сайте Оператора документов, определяющих политику Оператора в отношении обработки персональных данных, реализуемые требования к защите персональных данных;

— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями Федерального закона «О персональных данных»;

— учет машинных носителей персональных данных;

применение мер по обнаружению фактов несанкционированного доступа к персональным данным;

— осуществление мероприятий по резервному копированию в целях дальнейшего восстановления персональных данных в случае несанкционированного доступа к ним;

— принятие мер по определению угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Оператора, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

— применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

— установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Оператора, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Оператора;

— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

Ответственность за нарушения требований Федерального закона

«О персональных данных»

9.1. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

9.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Заключительные положения

10.1. Настоящая Политика является внутренним документом Оператора, является общедоступной и подлежит размещению на официальном сайте Оператора;

10.2. Политика подлежит изменению, дополнению в случае изменения действующего законодательства Российской Федерации по обработке и защите персональных данных.