129110, г. Москва, ул. Гиляровского, д.47, стр.3

Политика обработки персональных данных

Приложение

УТВЕРЖДЕНО

приказом от «14» сентября 2018 № 141

 

ПОЛИТИКА

ГОСУДАРСТВЕННОГО УНИТАРНОГО ПРЕДПРИЯТИЯ МОСКОВСКОЙ ОБЛАСТИ «НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ И ПРОЕКТНЫЙ ИНСТИТУТ ГРАДОСТРОИТЕЛЬСТВА»

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

I. Общие положения

1. Государственное унитарное предприятие Московской области «Научно-исследовательский и проектный институт градостроительства» (ГУП МО «НИиПИ градостроительства») (далее — предприятие), выполняя требования Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Федеральный закон), публикует в свободном доступе настоящую политику в отношении персональных данных и сведения о реализуемых требованиях к защите персональных данных.

2. Положения настоящей политики являются основой для организации работы по обработке персональных данных в ГУП МО «НИиПИ градостроительства», в том числе для разработки внутренних локальных нормативных актов, регламентирующих процесс обработки персональных данных.

3. Положения настоящей политики являются обязательными для исполнения всеми работниками ГУП МО «НИиПИ градостроительства», имеющими доступ к персональным данным.

4. Настоящая политика размещается на общедоступном ресурсе предприятия www.niipigrad.ru для общего пользования работниками.

5. Основные понятия:

5.1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

5.2. оператор персональных данных, оператор — предприятие (ГУП МО «НИиПИ градостроительства»), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

5.3. обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;

5.4. автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

5.5. распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

5.6. предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

5.7. блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

5.8. уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

5.9. обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

5.10.информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

6. Основные права и обязанности предприятия.

6.1. Предприятие вправе:

6.1.1. отстаивать свои интересы в суде;

6.1.2. предоставлять персональные данные субъектов третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);

6.1.3. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;

6.1.4. использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации.

6.2. Предприятие обязано:

6.2.1. предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

6.2.2. разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом;

6.2.3. до начала обработки персональных данных (если персональные данные получены не от субъекта персональных данных) предоставить субъекту персональных данных следующую информацию, за исключением случаев, предусмотренных Федеральным законом:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные законом права субъекта персональных данных;

5) источник получения персональных данных.

6.2.4. опубликовать в сети Интернет или иным образом обеспечить неограниченный доступ к настоящей политики предприятия в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

6.2.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

6.2.6. до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных Федеральным законом;

6.2.7. сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;

6.2.8. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

7. Субъект персональных данных имеет право:

7.1. на полную информацию о своих персональных данных и на получение информации, касающейся обработки его персональных данных;

7.2. на доступ к своим персональным данным;

7.3. требовать от предприятия уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

7.4. обжаловать действия или бездействие предприятия в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, в случае, если субъект персональных данных считает, что предприятия осуществляет обработку его персональных данных с нарушением требований Федерального закона.

8. Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей политики.

 

II. Цели сбора персональных данных

9. Предприятия обрабатывает персональные данные субъектов персональных данных, соблюдая требования законодательства Российской Федерации, в целях:

9.1. осуществления деятельности в соответствии с Уставом предприятия, законодательством и нормативными актами Российской Федерации и Московской области, лицензиями и локальными нормативными актами предприятия;

9.2. выполнения обязательств по договорным/контрактным отношениям;

9.3. осуществления административно-хозяйственной деятельности;

9.4. привлечения и отбора кандидатов на работу на предприятие;

9.5. заключения с субъектом персональных данных любых договоров и их дальнейшего исполнения;

9.6. контроля количества и качества выполняемой работы, учета результатов исполнения должностных обязанностей;

9.7. ведения кадровой работы и организация учета работников предприятия;

9.8. регулирования трудовых и иных, непосредственно связанных с ними отношений;

9.9. расчета и начисления заработной платы, обеспечения безналичных платежей, формирование статистической, бухгалтерской и иной отчетности;

9.10. обеспечения безопасности и сохранности имущества;

9.11. предоставления гарантий и льгот, предусмотренных законодательством Российской Федерации;

9.12. реализации политики по управлению конфликтов интересов;

9.13. поддержания корпоративной культуры;

9.14. проверки любых предоставленных сведений (и получение, при необходимости, дополнительных сведений в пределах, разрешенных законодательством Российской Федерации) в государственных и/или иных органах /организациях;

10. защита интересов предприятия при неисполнении или ненадлежащем исполнении обязательств по заключенным с предприятием договорам/контрактам;

11. прохождения производственной практики на предприятии.

 

 III. Правовые основания обработки персональных данных

12. Предприятие обрабатывает персональные данные в соответствии с:

12.1. Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, другими федеральными законами и нормативными правовыми актами, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации;

12.2. Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

12.3. Приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

12.4. Постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

12.5. Постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

12.6. Уставом предприятия, законодательными и нормативными актами Российской Федерации и Московской области, регулирующими основную деятельность предприятия;

12.7. трудовыми договорами, договорами о материальной ответственности, которые предприятие заключает с работниками, договорами о проведении практики со студентами учебных заведений, которые предприятие заключает с учебными заведениями;

12.8. согласием на обработку персональных данных;

12.9. обязательством о неразглашении конфиденциальной информации.

 

IV. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

13. Предприятие не осуществляет трансграничную передачу персональных данных.

14. Предприятие не осуществляет обработку специальной категории персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

15. Предприятие осуществляет обработку специальной категории персональных данных, касающихся судимости, состояния здоровья, в пределах полномочий, предоставленных в соответствии с законодательством Российской Федерации, в случаях и в порядке, которые определяются в соответствии с федеральными законами.

16. Предприятие осуществляет обработку биометрических персональных данных с целью установления личности работников при осуществлении пропуска на территорию предприятия.

17. Предприятие осуществляет обработку следующих персональных данных субъектов персональных данных:

17.1. фамилия, имя, отчество, адрес регистрации субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

17.2. дата и место рождения;

17.3. фамилия, имя, отчество, адрес регистрации представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

17.4. номер страхового свидетельства государственного пенсионного страхования;

17.5. номер индивидуального налогового номера;

17.6. информация о государственной регистрации актов гражданского состояния;

17.7. информация об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);

17.8. информация о послевузовском профессиональном образовании (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);

17.9. информация о дополнительном профессиональном образовании;

17.10. информация о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.)

17.11. сведения о предыдущих местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;

17.12. информация о государственных наградах, иных наградах и знаках отличия (кем награжден и когда);

17.13. информация о степени родства, фамилиях, именах, отчествах, датах рождения близких родственников (отца, матери, братьев, сестер и детей), а также супруга (супруги), бывшего супруга (супруги);

17.14. информация о местах рождения, местах работы и домашних адресах близких родственников (отца, матери, братьев, сестер и детей), а также супруга (супруги), бывшего супруга (супруги);

17.15. информация о пребывании за границей (когда, где, с какой целью);

17.16. информация о близких родственниках (отец, мать, братья, сестры и дети), а также супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);

17.17. информация об отношении к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);

17.18. информация о наличии (отсутствии) судимости;

17.19. информация о допуске к государственной тайне, оформленном за период работы, службы, учебы (форма, номер и дата);

17.20. информация о наличии (отсутствии) заболевания, препятствующего выполнению должностных обязанностей, подтвержденная заключением медицинского учреждения;

17.21. информация о наличии (отсутствии) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденная заключением медицинского учреждения;

17.22. информация о наличии административных и иных наказаниях, о привлечении к ответственности;

17.23. сведения о доходах, о размере заработной платы и других выплат, об учреждении юридических лиц и т.п.;

17.24. биографические и анкетные данные работника, результаты тестирования, прохождения конкурсов, сдачи экзаменов;

17.25. фотография, подпись;

17.26. иных фактах, на основании которых работникам по закону и локальными нормативными актами предприятия должны быть предоставлены гарантии и компенсации.

18. Предприятие осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

18.1. физические лица, являющимися кандидатами на замещение вакантных должностей предприятия;

18.2. физические лица, являющиеся работниками предприятия;

18.3. физические лица, являющиеся бывшими работниками предприятия;

18.4. физические лица, являющиеся родственниками и членами семьи работника;

18.5. физические лица, осуществляющие выполнение работ по оказанию услуг (работ) и заключившие с предприятием договор гражданско-правового характера;

18.6. физические лица, приобретшие услуги предприятия, услуги третьих лиц при посредничестве предприятия (контрагенты и заказчики услуг предприятия);

18.7. представители работников, контрагентов, заказчиков услуг;

18.8. студенты, проходящие практику на предприятия по заключенным договорам между предприятием и учебным заведением.

 

V. Порядок и условия обработки персональных данных 

19. Предприятие не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

20. Доступ к персональным данным на предприятии имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей, и назначенные приказом руководителя предприятия.

21. Все персональные данные предприятие получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.

22. В случаях, предусмотренных законодательством Российской Федерации, предприятие обрабатывает персональные данные без специального согласия субъекта персональных данных.

23. Предприятие вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено законом. Такая обработка персональных данных осуществляется на основании договора, заключенного между предприятием и третьим лицом, в котором определены:

23.1. перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;

23.2. цели обработки персональных данных;

23.3. обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

24. Предприятие осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

25. Предприятие осуществляет обработку персональных данных, которая включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

26. Предприятие обрабатывает персональные данные в автоматизированной системе АИС «Финансы и кадры» и неавтоматизированным способом.

27. На предприятии обеспечивается защита персональных данных в рамках единого комплекса организационно-технических и правовых мероприятий по охране информации, составляющей персональные данные. При обеспечении защиты персональных данных учитываются требования Федерального закона, принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации. Система информационной безопасности предприятия непрерывно развивается и совершенствуется на базе требований национальных стандартов информационной безопасности. На предприятии в предусмотренных нормативными актами и локальными нормативными актами случаях проводится аттестация информационных систем на соответствие требованиям по защите информации.

28. Хранение персональных данных на предприятии осуществляется в рамках конфиденциального производства в порядке, исключающем их утрату или неправомерное использование, в форме, позволяющей определить субъекта персональных данных.

29. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями законодательства Российской Федерации (Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», Федеральным законом от 22.10.2004 г. №125-ФЗ «Об архивном деле», Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства Российской Федерации), нормативными актами и локальными нормативными актами предприятия.

 

VI. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

30. Предприятие при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу уполномоченного органа по защите прав субъекта персональных данных блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.

31. Предприятие на основании сведений, предоставленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъекта персональных данных, или иных необходимых документов подтверждающих, что персональные данные являются неполными, неточными или неактуальными, вносит в них необходимые изменения в течение семи рабочих дней со дня предоставления таких сведений.

32. Предприятие, со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий семи рабочих дней, осуществляет уничтожение персональных данных и уведомляет субъекта персональных данных или его представителя о предпринятых мерах.

33. Предприятие прекращает обработку персональных данных субъекта и осуществляет уничтожение этих персональных данных:

33.1. при изъятии полномочий по обработке персональных данных; ликвидации предприятия;

33.2. при достижении цели обработки персональных данных, в срок, не превышающий тридцати дней со дня достижения цели обработки персональных данных, если иное не предусмотрено Федеральным законом или другими федеральными законами;

33.3. при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

33.4. при истечении срока согласия субъекта на обработку персональных данных;

33.5. при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных, в срок, не превышающий тридцати дней со дня поступления указанного отзыва, если иное не предусмотрено Федеральным законом или другими федеральными законами;

33.6. при выявлении неправомерной обработки персональных данных, осуществляемой предприятием.

34. Предприятия предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящихся к соответствующему субъекту персональных данных, в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя или на законных основаниях предоставляет в письменной форме мотивированный отказ, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

 

VII. Заключительные положения

35. Настоящая политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных.

36. Контроль над исполнением требований настоящей политики осуществляется ответственным лицом предприятия, назначаемым в установленном порядке локальным нормативным актом.

37. Ответственность должностных лиц предприятия, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации в области персональных данных и локальными нормативными актами предприятия.