Политика конфиденциальности
Положение утверждено приказомот 20 марта 2025 № 2503-01
Директор Владимирского некоммерческого фонда
культуры и поддержки творчества
«АНАСТАСИЯ»
Положение (политика)
об обработке, защите персональных данных работников, привлеченных для взаимодействия третьих лиц, а также любых иных лиц, чьи персональные данные получены оператором - Владимирским некоммерческим фондом культуры и поддержки творчества «АНАСТАСИЯ»
1. Общие положения
1.1. Настоящее Положение является локальным нормативным актом Владимирского некоммерческого фонда культуры и поддержки творчества «АНАСТАСИЯ» (далее – Фонд «АНАСТАСИЯ», Оператор персональных данных), принятым во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», иных законодательных актов Российской Федерации.
1.2. Настоящее Положение устанавливает:
цели, порядок и условия обработки персональных данных;
категории субъектов персональных данных,
категории (перечни) обрабатываемых персональных данных,
способы, сроки их обработки и хранения,
порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
положения, касающиеся защиты персональных данных,
процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений;
положение об ответственности лиц, имеющих доступ к персональным данным, за нарушение режима конфиденциальности персональных данных.
1.3. Положение вступает в силу с момента его утверждения директором и действует до его отмены приказом директора или до введения нового Положения.
1.4. Внесение изменений в Положение производится приказом директора. Изменения вступают в силу с момента подписания соответствующего приказа.
1.5. Настоящее Положение обязательно для соблюдения всеми работниками Фонда «АНАСТАСИЯ», а также любыми привлеченными для взаимодействия с Оператором персональных данных третьими лицами.
1.6. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
Основные используемые понятия применительно к настоящему Положению:
1.6.1. Персональные данные - любая информация, относящаяся прямо или косвенно к субъекту персональных данных.
1.6.2. Оператор персональных данных (оператор) – Фонд «АНАСТАСИЯ» самостоятельно и совместно с другими лицами, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.6.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации и (или) без их использования.
1.6.4. Субъекты персональных данных: любые лица, чьи персональные данные получены оператором, в том числе: работники оператора (в том числе бывшие), кандидаты на замещение вакантных должностей, родственники работников; привлеченные для взаимодействия третьи лица; лица, передающие свои данные для их учета при формировании списков лиц различных категорий, а также для публичного размещения информации. Обозначенный перечень не является исчерпывающим.
1.6.5. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
2. Цели получения, учёта, обработки персональных данных Фондом
Целями получения, учёта, обработки персональных данных являются:
- вступление в трудовые правоотношения и ведение трудовых отношений;
- ведение кадрового и бухгалтерского учета;
- заключение соглашений с третьими лицами для достижения задач и целей оператора в соответствии с Уставом (Устав опубликован к ознакомлению в свободном доступе на сайте: https://anastasia.ru/;
- формирование списков лиц различных категорий для целей взаимодействия (в том числе потенциального) данных лиц с оператором и, в некоторых случаях, между собой, с учетом целей и задач оператора.
Указанный перечень не является исчерпывающим.
3. Порядок и условия обработки персональных данных
3.1. Оператор уведомляет Роскомнадзор о намерении осуществлять обработку персональных данных.
3.2. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
3.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
3.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
3.5. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
3.6. Настоящая политика также распространяется на осуществление трансграничной передачи персональных данных, в случае сбора соответствующих персональных данных.
3.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
3.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются посредством: получения оригиналов документов либо их копий и электронных копий; копирования оригиналов документов; внесения сведений в учетные формы на бумажных и электронных носителях; создания документов, содержащих персональные данные, на бумажных и электронных носителях; внесения персональных данных в информационные системы персональных данных. Перечень не является исчерпывающим.
3.7.2. Могут использоваться различные информационные системы, в том числе: электронная почта оператора; система электронного документооборота; информационный портал. Перечень не является исчерпывающим.
3.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
4. Категории субъектов персональных данных.
К субъектам персональных данных настоящее Положение относит любых лиц, чьи персональные данные получены оператором в соответствии с пунктом 1.6.4, обозначенным выше.
5. Категории (перечни) обрабатываемых персональных данных.
5.1. Оператором могут обрабатываться следующие персональные данные:
фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
пол;
дата (число, месяц, год) и место рождения;
фотографическое изображение;
сведения о гражданстве;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
страховой номер индивидуального лицевого счета (СНИЛС);
идентификационный номер налогоплательщика (ИНН);
адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
информация о владении иностранными языками;
сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
сведения о доходах, обязательствах по исполнительным документам;
номера расчетного счета, банковской карты;
сведения о состоянии здоровья;
сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
иные персональные данные, содержащиеся в документах, представление которых допустимо законодательством РФ;
иные персональные данные, которые субъект персональных данных пожелал сообщить о себе.
Перечень не является исчерпывающим.
5.2. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
6. Способы обработки и хранения персональных данных.
Допускается обработка и хранение персональных данных следующими способами: неавтоматизированная обработка и хранение персональных данных; автоматизированная обработка и хранение персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой; смешанная обработка и хранение персональных данных.
7. Сроки обработки и хранения персональных данных.
7.1. Обработка персональных данных прекращается в следующих случаях:
при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
при достижении целей их обработки (за некоторыми исключениями);
по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
при обращении субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
7.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, продолжительностью, соответствующей целям обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, соглашением, стороной которого является субъект персональных данных.
7.3. Персональные данные на бумажных носителях хранятся в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации". Сроки могут быть продлены.
7.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8. Порядок блокирования и уничтожения персональных данных.
8.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
8.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
8.3. Незаконно полученные персональные данные уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений. 8.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
8.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено соглашением, стороной которого является субъект персональных данных, либо если оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
8.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать соглашение, стороной которого является субъект персональных данных. Кроме того, персональные данные уничтожаются в указанный срок, если оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет лицо, ответственное за обработку персональных данных.
8.8. Уничтожение персональных данных осуществляется лицом, ответственным за обработку персональных данных.
8.8.1 Персональные данные на бумажных носителях уничтожаются способом, обеспечивающим невозможность идентификации текста в последующем. Возможные способы: сжигание, измельчение (в том числе с помощью шредера), химическое воздействие. Перечень способов не является исчерпывающим. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.8.2. Лицо, ответственное за обработку персональных данных, подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме.
8.8.3. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
9. Защита персональных данных.
9.1. Без письменного согласия субъекта персональных данных Фонд «АНАСТАСИЯ» не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
9.2. С целью защиты персональных данных в Фонде «АНАСТАСИЯ»:
- заключается соглашение с лицом (работником либо привлеченным лицом), ответственным за организацию обработки персональных данных;
- отбираются согласия на обработку персональных данных, в том числе согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- разрабатывается необходимые локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных, при возникновении необходимости.
9.3. Лица, чьи обязанности предполагают обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении, которое в том числе может содержаться в иных документах, подписываемых работником данным лицом.
9.4. Хранение персональных данных осуществляются способом, исключающим несанкционированный к ним доступ и их несанкционированное распространение, например, внешние носители могут храниться под ключами в помещении / сейфах, а распространение персональной информации, содержащейся в информационных системах, исключается посредством создания и использования паролей.
9.5. Лица, обрабатывающие персональные данные, обязуются сообщать о любых случаях несанкционированного доступа к персональным данным, о чём уведомляются под подпись.
10. Процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.
10.1. В Фонде «АНАСТАСИЯ» проводятся внутренние расследования в следующих ситуациях:
- при выявлении факта неправомерной или случайной передачи (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- в иных случаях, предусмотренных законодательством в области персональных данных.
10.2. Лицо, ответственное за организацию обработки персональных данных, осуществляет внутренний контроль:
- за соблюдением лицами, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
- соответствием указанных актов требованиям законодательства в области персональных данных. Внутренний контроль проходит любым возможным способом, позволяющим достигнуть поставленные цели, в том числе посредством проведения внутренних проверок, при возникновении необходимости.
10.3. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором.
10.4. Внутренние внеплановые проверки осуществляются по решению лица, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
10.5. По итогам внутренней проверки оформляется докладная записка на имя генерального директора. Если выявлены нарушения, планируется перечень мероприятий по их устранению и соответствующие сроки.
10.6. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
10.6.1. В случае инцидента Фонд «АНАСТАСИЯ» в течение 24 часов уведомляет Роскомнадзор:
- об инциденте;
- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
- принятых мерах по устранению последствий инцидента;
- лице, уполномоченном взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187 и учитывать ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
10.6.2. В течение 72 часов Фонда «АНАСТАСИЯ» обязан сделать следующее:
- уведомить Роскомнадзор о результатах внутреннего расследования;
- предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии). При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187, и учитывать ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
10.6.3. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Фонд «АНАСТАСИЯ» уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
10.6.4. Фонд «АНАСТАСИЯ» уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с настоящим пунктом Положения.
10.7. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Фонд «АНАСТАСИЯ» уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Фонд «АНАСТАСИЯ» уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
11. Ответственность лиц, имеющих доступ к персональным данным, за нарушение режима конфиденциальности персональных данных
11.1. Лица, виновные в нарушении режима конфиденциальности персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, в том числе, могут привлекаться к дисциплинарной и материальной ответственности, к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
