Политика обработки персональных данных

Приложение

УТВЕРЖДЕНО

приказом от «25» ноября 2019 № 46 к

 

ПОЛИТИКА

ГОСУДАРСТВЕННОГО АВТОНОМНОГО УЧРЕЖДЕНИЯ МОСКОВСКОЙ ОБЛАСТИ «НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ И ПРОЕКТНЫЙ ИНСТИТУТ ГРАДОСТРОИТЕЛЬСТВА»

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

I. Общие положения

1. Настоящая политика Государственного автономного учреждения Московской области «Научно-исследовательский и проектный институт градостроительства» (ГАУ МО «НИиПИ градостроительства») (далее — Учреждение), разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон), федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных, и является основой для организации работы по обработке персональных данных в Учреждении, в том числе для разработки и утверждения внутренних локальных нормативных актов, регламентирующих процесс обработки персональных данных.

2. Положения настоящей политики являются обязательными для исполнения всеми работниками ГАУ МО «НИиПИ градостроительства», имеющими доступ к персональным данным, размещается на официальном сайте Учреждения в информационно-телекоммуникационной сети «Интернет» по адресу: http://www.niipigrad.ru/politika-obrabotki-personalnyh-dannyh/.

3. Основные понятия, используемые в настоящей Политике:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор персональных данных, оператор — Учреждение, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4. Основные права и обязанности Учреждения.

4.1. Учреждение вправе:

4.1.1. отстаивать свои интересы в суде;

4.1.2. предоставлять персональные данные субъектов третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);

4.1.3. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;

4.1.4. использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством Российской Федерации.

4.2. Учреждение обязано:

4.2.1 предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

4.2.2. разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом;

4.2.3. до начала обработки персональных данных (если персональные данные получены не от субъекта персональных данных) предоставить субъекту персональных данных следующую информацию, за исключением случаев, предусмотренных Федеральным законом:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные законом права субъекта персональных данных;

5) источник получения персональных данных.

4.2.4. опубликовать в сети Интернет или иным образом обеспечить неограниченный доступ к настоящей политике Учреждения в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

4.2.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

4.2.6. до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных Федеральным законом;

4.2.7. сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;

4.2.8. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

5. Субъект персональных данных имеет право:

5.1. на полную информацию о своих персональных данных и на получение информации, касающейся обработки его персональных данных;

5.2. на доступ к своим персональным данным;

5.3. требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5.4. обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, в случае, если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона.

6. Настоящая политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей политики.

II. Цели сбора персональных данных

7. Учреждение обрабатывает персональные данные субъектов персональных данных, соблюдая требования законодательства Российской Федерации, в целях:

7.1. осуществления деятельности в соответствии с Уставом Учреждения, законодательством и нормативными актами Российской Федерации и Московской области, лицензиями и локальными нормативными актами Учреждения;

7.2. выполнения обязательств по договорным/контрактным отношениям;

7.3. осуществления административно-хозяйственной деятельности;

7.4. привлечения и отбора кандидатов на работу в Учреждение;

7.5. заключения с субъектом персональных данных любых договоров и их дальнейшего исполнения;

7.6. контроля количества и качества выполняемой работы, учета результатов исполнения должностных обязанностей;

7.7. ведения кадровой работы и организация учета работников Учреждения;\

7.8. регулирования трудовых и иных, непосредственно связанных с ними отношений;

7.9. расчета и начисления заработной платы, обеспечения безналичных платежей, формирование статистической, бухгалтерской и иной отчетности;

7.10. обеспечения безопасности и сохранности имущества;

7.11. предоставления гарантий и льгот, предусмотренных законодательством Российской Федерации;

7.12. реализации политики по управлению конфликтов интересов;

7.13. поддержания корпоративной культуры;

7.14. проверки любых предоставленных сведений (и получение, при необходимости, дополнительных сведений в пределах, разрешенных законодательством Российской Федерации) в государственных и/или иных органах /организациях;

8. защита интересов Учреждения при неисполнении или ненадлежащем исполнении обязательств по заключенным с Учреждением договорам/контрактам.

9. прохождения производственной практики в Учреждении.

III. Правовые основания обработки персональных данных

10. Учреждение обрабатывает персональные данные в соответствии с:

10.1. Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, другими федеральными законами и нормативными правовыми актами, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации;

10.2. Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

10.3. Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

10.4. Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

10.5. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

10.6. Уставом Учреждения, законодательными и нормативными актами Российской Федерации и Московской области, регулирующими основную деятельность Учреждения;

10.7. трудовыми договорами, договорами о материальной ответственности, которые Учреждение заключает с работниками, договорами о проведении практики со студентами учебных заведений, которые Учреждение заключает с учебными заведениями;

10.8. согласием на обработку персональных данных;

10.9. обязательством о неразглашении конфиденциальной информации.

IV. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

11. Учреждение не осуществляет трансграничную передачу персональных данных.

12. Учреждение не осуществляет обработку специальной категории персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

13. Учреждение осуществляет обработку специальной категории персональных данных, касающихся судимости, состояния здоровья, в пределах полномочий, предоставленных в соответствии с законодательством Российской Федерации, в случаях и в порядке, которые определяются в соответствии с федеральными законами.

14. Учреждение осуществляет обработку следующих персональных данных субъектов персональных данных:

14.1. фамилия, имя, отчество, адрес регистрации субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

14.2. дата и место рождения;

14.3. фамилия, имя, отчество, адрес регистрации представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

14.4. номер страхового свидетельства государственного пенсионного страхования;

14.5. номер индивидуального налогового номера;

14.6. информация о государственной регистрации актов гражданского состояния;

14.7. информация об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);

14.8. информация о послевузовском профессиональном образовании (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);

14.9. информация о дополнительном профессиональном образовании;

14.10. информация о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т. п.)

14.11. сведения о предыдущих местах работы, продолжительности работы, о переводах и других изменениях трудового договора и причинах прекращения трудовых отношений;

14.12. информация о государственных наградах, иных наградах и знаках отличия (кем награжден и когда);

14.13. информация о степени родства, фамилиях, именах, отчествах, датах рождения близких родственников (отца, матери, братьев, сестер и детей), а также супруга (супруги), бывшего супруга (супруги);

14.14. информация о местах рождения, местах работы и домашних адресах близких родственников (отца, матери, братьев, сестер и детей), а также супруга (супруги), бывшего супруга (супруги);

14.15. информация о пребывании за границей (когда, где, с какой целью);

14.16. информация о близких родственниках (отец, мать, братья, сестры и дети), а также супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);

14.17. информация об отношении к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);

14.18. информация о наличии (отсутствии) судимости;

14.19. информация о допуске к государственной тайне, оформленном за период работы, службы, учебы (форма, номер и дата);

14.20. информация о наличии (отсутствии) заболевания, препятствующего выполнению должностных обязанностей, подтвержденная заключением медицинского учреждения;

14.21. информация о наличии (отсутствии) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденная заключением медицинского учреждения;

14.22. информация о наличии административных и иных наказаниях, о привлечении к ответственности;

14.23. сведения о доходах, о размере заработной платы и других выплат, об учреждении юридических лиц и т. п.;

14.24. биографические и анкетные данные работника, результаты тестирования, прохождения конкурсов, сдачи экзаменов;

14.25. фотография, подпись;

14.26. иных фактах, на основании которых работникам по закону и локальными нормативными актами Учреждения должны быть предоставлены гарантии и компенсации.

15. Учреждение осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

15.1. физические лица, являющимися кандидатами на замещение вакантных должностей Учреждения;

15.2. физические лица, являющиеся работниками Учреждения;

15.3. физические лица, являющиеся бывшими работниками Учреждения;

15.4. физические лица, являющиеся родственниками и членами семьи работника;

15.5. физические лица, осуществляющие выполнение работ по оказанию услуг (работ) и заключившие с Учреждением договор гражданско-правового характера;

15.6. физические лица, приобретшие услуги Учреждения, услуги третьих лиц при посредничестве Учреждения (контрагенты и заказчики услуг Учреждения);

15.7. представители работников, контрагентов, заказчиков услуг;

15.8. студенты, проходящие практику в Учреждении по заключенным договорам между Учреждением и учебным заведением.

V. Порядок и условия обработки персональных данных

16. Учреждение не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

17. Доступ к персональным данным в Учреждении имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей, и назначенные приказом руководителя Учреждения.

18. Все персональные данные Учреждение получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.

19. В случаях, предусмотренных законодательством Российской Федерации, Учреждение обрабатывает персональные данные без специального согласия субъекта персональных данных.

20. Учреждение вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено законом. Такая обработка персональных данных осуществляется на основании договора, заключенного между Учреждением и третьим лицом, в котором определены:

20.1. перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;

20.2. цели обработки персональных данных;

20.3. обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

21. Учреждение осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

22. Учреждение осуществляет обработку персональных данных, которая включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

23. Учреждение обрабатывает персональные данные в автоматизированной информационной системе «Институт» и неавтоматизированным способом.

24. В учреждении обеспечивается защита персональных данных в рамках единого комплекса организационно-технических и правовых мероприятий по охране информации, составляющей персональные данные. При обеспечении защиты персональных данных учитываются требования Федерального закона, принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации. Система информационной безопасности Учреждения непрерывно развивается и совершенствуется на базе требований национальных стандартов информационной безопасности. В Учреждении в предусмотренных нормативными актами и локальными нормативными актами случаях проводится аттестация информационных систем на соответствие требованиям по защите информации.

25. Хранение персональных данных в учреждении осуществляется в рамках конфиденциального производства в порядке, исключающем их утрату или неправомерное использование, в форме, позволяющей определить субъекта персональных данных.

26. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями законодательства Российской Федерации (Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Приказом Минкультуры России от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства Российской Федерации), нормативными актами и локальными нормативными актами Учреждения.

VI. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

27. Учреждение при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу уполномоченного органа по защите прав субъекта персональных данных блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.

28. Учреждение на основании сведений, предоставленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъекта персональных данных, или иных необходимых документов подтверждающих, что персональные данные являются неполными, неточными или неактуальными, вносит в них необходимые изменения в течение семи рабочих дней со дня предоставления таких сведений.

29. Учреждение, со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий семи рабочих дней, осуществляет уничтожение персональных данных и уведомляет субъекта персональных данных или его представителя о предпринятых мерах.

30. Учреждение прекращает обработку персональных данных субъекта и осуществляет уничтожение этих персональных данных:

30.1. при изъятии полномочий по обработке персональных данных; ликвидации Учреждения;

30.2. при достижении цели обработки персональных данных, в срок, не превышающий тридцати дней со дня достижения цели обработки персональных данных, если иное не предусмотрено Федеральным законом или другими федеральными законами;

30.3. при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

30.4. при истечении срока согласия субъекта на обработку персональных данных;

30.5. при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных, в срок, не превышающий тридцати дней со дня поступления указанного отзыва, если иное не предусмотрено Федеральным законом или другими федеральными законами;

30.6. при выявлении неправомерной обработки персональных данных, осуществляемой Учреждением.

31. Учреждение предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящихся к соответствующему субъекту персональных данных, в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя или на законных основаниях предоставляет в письменной форме мотивированный отказ, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

VII. Заключительные положения

32. Настоящая политика подлежит изменению, дополнению в случае принятия новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных.

33. Контроль над исполнением требований настоящей политики осуществляется ответственным лицом Учреждения, назначаемым в установленном порядке локальным нормативным актом.

34. Ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации в области персональных данных и локальными нормативными актами Учреждения.