Политика ОПДН - Китеж-центр

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Автономной некоммерческой организации «Центр помощи семьям, находящимся в трудной жизненной ситуации «Китеж»

Утверждено 20 декабря 2020 г.

1. Общие положения

1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) принята и действует в АНО «Центр «Китеж» ИНН 7705521799 (далее – Оператор) (далее – ПДн),

1.2. Политика определяет цели и общие принципы обработки персональных данных, а также реализуемые Оператором меры для обеспечения безопасности ПДн при их обработке Оператором.

1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих у Оператора вопросы обработки персональных данных работников и других субъектов персональных данных.

1.4. Все работники Оператора, получающие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящей Политикой для последующего ее исполнения.

1.5. Политика действует бессрочно до ее отмены или замены новой версией документа. Оператор вправе изменять (обновлять) настоящую Политику в случае изменения требований законодательства или по мере необходимости.Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней неограниченного круга лиц путем размещения Политики на сайте Оператора и (или) страницах Оператора в социальных сетях.

1.6. В Политике используются термины и определения в тех значениях, как они определены в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» и иных нормативных правовых актах.

1.7. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей, которые определяются уставными документами Оператора, фактически осуществляемой Оператором деятельностью, конкретными взаимоотношениями между Оператором и субъектом персональных данных. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается.

Основания обработки персональных данных

Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

№ п/п	Наименование документа
1	Конституция Российской Федерации
2	Трудовой кодекс Российской Федерации
3	Гражданский кодекс Российской Федерации
4	Налоговый кодекс Российской Федерации
5	Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
6	Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»
7	Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ
8	Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»
9	Приказ ФНС России от 15.10.2020 N ЕД-7-11/753@ «Об утверждении формы расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом (форма 6-НДФЛ), порядка ее заполнения и представления, формата представления расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом, в электронной форме, а также формы справки о полученных физическим лицом доходах и удержанных суммах налога на доходы физических лиц»
10	Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»
11	Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»
12	Федеральный закон № 7-ФЗ «О некоммерческих организациях»
13	Устав Оператора
14	Договоры, заключаемые между оператором и субъектом персональных данных
15	Согласие на обработку персональных данных

3. Основные права и обязанности Оператора

3.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

3.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

3.3. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

3.4. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.5. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные 152- ФЗ. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 152-ФЗ.

3.6. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут установленную законодательством материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность.

3.7. На сайте Оператора или страницах Оператора в социальных сетях могут быть размещены ссылки на сторонние сайты и службы, деятельность которых Оператор не контролирует. Оператор не несет ответственности за безопасность персональных данных, предоставленных субъектом персональных данных при переходе по данным ссылкам.

3.8. Оператор осуществляет иные права и обязанности, установленные 152-ФЗ.

4. Цели и принципы обработки персональных данных

4.1. Персональные данные обрабатываются Оператором в следующих целях:

обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора как на работодателя, в том числе:
- по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- исчислению и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ;
- выполнению требований законодательства об основах охраны здоровья граждан;
- выполнению требований законодательства в сфере труда и налогообложения;
- выполнению требований законодательства о воинской обязанности;
- исполнению судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- исполнению требований Федерального закона 63-ФЗ «Об электронной подписи»;
- выполнению требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами (благополучателями) и контрагентами Оператора;
осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
регулирование трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение безопасности, контроль количества и качества исполнения обязанностей работников в рамках исполнения обязанностей по заключенному с ними трудовым договорам, социальное обеспечение работников, обеспечение сохранности имущества, организация коммуникаций, организация деловых поездок, организация питания, прохождения медицинских осмотров, санаторно-курортного лечения, участия в корпоративных мероприятиях, предоставление налоговых вычетов);
предоставление сведений в банк для оформления банковской карты и перечисления на нее заработной платы;
оформление договоров ДМС;
начисления заработной платы работников;
наделение работников определенными полномочиями (оформление доверенностей);
подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных договорами заключаемыми Оператором с контрагентами;
предоставление пользователям возможности по передаче отчетности по телекоммуникационным каналам связи;
предоставление пользователям возможности пользоваться сервисами: электронная отчетность, электронный документооборот и пр.;
изготовление и хранение сертификатов ключей проверки ЭП, изготовление списка отзывов сертификатов, ведение реестра выданных и аннулированных сертификатов;
создание и поддержание положительного имиджа компании;

4.2. Принципы обработки персональных данных

Обработка персональных данных осуществляется на основе общих принципов:

законности заранее определенных конкретных целей и способов обработки персональных данных;
обеспечения надлежащей защиты персональных данных;
соответствия целей обработки персональных целям, заранее определенным и заявленным при сборе персональных данных;
соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
хранения персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
уничтожения персональных данных по достижении целей обработки, если срок хранения персональных данных не установлен законодательством РФ;
обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

5.1. Содержание и Объем персональных данных, обрабатываемых Оператором определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора с учетом целей обработки персональных данных и определяется характером отношений между Оператором и субъектом персональных данных.

5.2. Категории субъектов, персональные данные которых обрабатываются в АНО «Центр «Китеж».

К категориям субъектов относятся:

Работники Оператора (в том числе уволенные) и работники сторонних организаций, с которыми заключено соглашение о сотрудничестве, кандидаты на замещение вакантных должностей, а также родственники работников;
Клиенты (благополучатели) и контрагенты оператора (физические лица и индивидуальные предприниматели);
представители/работники клиентов и контрагентов оператора (юридических лиц).
добровольцы (волонтеры), участвующие в благотворительной деятельности Оператора.

Оператор обрабатывает технические данные об использовании субъектом персональных данных сайта Оператора (автоматически передаваемые устройствами, используемыми субъектом персональных данных для заполнения соответствующих форм (полей) на сайте Оператора, в том числе технические характеристики устройств, IP-адрес, информацию в файлах «cookies», информацию о браузере, дата и время пользования сайтом, адреса запрашиваемых страниц сайта Оператора и иную подобную информацию) исключительно в целях обеспечения функционирования и безопасности сайта, а также улучшения его качества.

6. Порядок и условия обработки персональных данных.

Оператор осуществляет обработку персональных данных смешанным способом, как с использованием средств автоматизации, так и без таковых. Оператором осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.

Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не предусмотрено законом. Форма согласия на обработку персональных данных разрабатывается Оператором в соответствии с требованиями ст. 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется Оператором в строгом соответствии с требованиями ст. 10.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Форма согласия на такую обработку разрабатывается Оператором в строгом соответствии с требованиями Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки. При осуществлении хранения персональных данных Оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации.

Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление случаев неправомерной обработки персональных данных.

Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. Вышеуказанные документы могут определять, в частности:

— цели, условия, сроки обработки персональных данных;

— обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;

— права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

В случаях, прямо не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах (в т.ч. электронных), бланках, или оформлено в письменной форме в соответствии с законодательством.

Оператор обязан передавать персональные данные органам дознания и предварительного следствия, иным уполномоченным органам в соответствии с их компетенцией и исключительно по основаниям, предусмотренным действующим законодательством Российской Федерации.

Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

— назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;

— проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;

— издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;

— обеспечение безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;

— ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;

— определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

— применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;

— учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;

— резервное копирование информации для возможности восстановления;

— осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

7. Права и обязанности субъектов персональных данных

7.1. Субъекты персональных данных имеют право на:

полную информацию об их персональных данных, обрабатываемых Оператором, в т.ч. содержащей:

— подтверждение факта обработки персональных данных Оператором;

— правовые основания и цели обработки персональных данных;

— цели и применяемые Оператором способы обработки персональных данных;

— наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отзыв согласия на обработку персональных данных;
принятие предусмотренных законом мер по защите своих прав;
обжалование действия или бездействия Оператором, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
7.осуществление иных прав, предусмотренных законодательством Российской Федерации.