ПОЛИТИКА БЛАГОТВОРИТЕЛЬНОГО ФОНДА ОСОБЕННЫЙ ПУТЬ В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Москва, 2023

1. Основные понятия

1.1. Для целей настоящей Политики используются следующие понятия:

  • Учреждение – БФ Особенный путь
  • Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (гражданину). К такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другая информация о гражданине.
  • Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  • Оператор персональных данных (далее Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Для целей реализации настоящей Политики Оператором персональных данных является Учреждение.
  • Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
  • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  • Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
  • Сайт – страница в сети Интернет, на которой размещена настоящая Политика. Официальный сайт Учреждения в информационно-телекоммуникационной сети Интернет.

2. Назначение и область действия документа

2.1. Настоящая Политика Благотворительного фонда в области обработки и обеспечения безопасности персональных данных (далее – Политика) разработана в соответствии с нормативно-правовыми актами Российской Федерации и определяет политику, позицию и намерения Учреждения в области обработки и защиты персональных данных, соблюдения прав и основных свобод граждан в сфере обработки персональных данных.

2.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, защиты права на неприкосновенность частной жизни, личную и семейную тайну, в том числе, защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых Учреждением.

2.3. Политика неукоснительно исполняется руководителем и работниками Учреждения, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Учреждением и других заинтересованных лиц.

2.4. Положения настоящей Политики распространяются на отношения по обработке и защите персональных данных, полученных Учреждением как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера нормы Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.

3. Права и обязанности Учреждения и субъекта персональных данных

3.1. Субъекты персональных данных и/или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

3.2. Учреждение обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в соответствии с действующим законодательством. Законный представитель действует от имени субъекта персональных данных без доверенности.

3.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации.

3.5. Учреждение вправе:

  • Отстаивать свои интересы в суде.
  • Предоставлять персональные данные субъекта третьим лицам по основаниям, предусмотренным действующим законодательством Российской Федерации.
  • Обрабатывать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.
  • Требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
  • Поручить обработку персональных данных другому (третьему) лицу с согласия субъекта персональных данных.
  • Предоставить информацию о субъекте персональных данных третьим лицам для выявления и пресечения мошеннических действий, для устранения технических неполадок или проблем с безопасностью персональных данных.

3.6. Учреждение обязано:

  • Собирать и обрабатывать персональные данные, объем и содержание которых соответствуют целям сбора и обработки персональных данных.
  • Соблюдать конфиденциальность персональных данных, а именно не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
  • Предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
  • При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
  • Прекратить обработку и осуществить уничтожение персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации.
  • Принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его обращением с законными и обоснованными требованиями.
  • Хранить персональные данные в форме, позволяющей определить субъекта, в течение срока хранения персональных данных.

3.7. Учреждение признает персональные данные конфиденциальной информацией и осуществляет обработку такой информации в соответствии с законодательством Российской Федерации (ст. 7, ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных») и локальными нормативными актами Учреждения. Обеспечение конфиденциальности не требуется в отношении:

  • персональных данных после их обезличивания;
  • персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (с его согласия);
  • персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

3.8. Не является нарушением конфиденциальности персональных данных предоставление Учреждением информации третьим лицам, действующим на основании договора с Учреждением для исполнения обязательств перед субъектом персональных данных.

3.9. Учреждение осуществляет хранение персональных данных таким способом, который исключает их утрату или их неправомерное использование.

3.10. Учреждение не осуществляет трансграничную передачу персональных данных.

3.11.  Субъект персональных данных имеет право:

  • на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»;
  • на получение информации, касающейся обработки его персональных данных;
  • требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3.12.Субъект персональных данных обязан:

  • сообщать Учреждению достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными актами Учреждения, в объеме, необходимом для достижения цели обработки персональных данных;
  • сообщать Учреждению об уточнении (обновлении, изменении) своих персональных данных.

4. Цели обработки персональных данных

4.1. Обработка персональных данных осуществляется Учреждением в следующих целях:

  • Трудоустройство работников Учреждения в соответствии с требованиями законодательства Российской Федерации.
    • Содействия в трудоустройстве, обучении и продвижении по службе.
    • Исполнения требований трудового, налогового и пенсионного законодательства Российской Федерации, контроль количества и качества выполняемой работы.
  • Обеспечения сохранности имущества Учреждения, организации деловых поездок (командировок).
    • Оказания медицинских, медико-социальных услуг в соответствии с законодательством Российской Федерации.
    • Заключения и исполнения договоров безвозмездного оказания медицинских и иных благотворительных услуг, договоров пожертвования, договоров безвозмездного пользования (владения) имуществом, а также иных договоров, заключаемых с пациентами и (или) благополучателями Учреждения и их представителями, договоров с добровольцами (волонтерами) Учреждения и иными лицами в рамках осуществления некоммерческой уставной деятельности Учреждения.
    • Подготовки, заключения, исполнения и прекращения любых иных гражданско-правовых договоров, не указанных в п. 4.1.6. Политики.
    • Исполнения законодательства Российской Федерации в области оказания благотворительной помощи и осуществления благотворительной деятельности.
    • Подготовки, рассылки и опубликования благотворительных отчетов, информационных и иных материалов по направлениям деятельности Учреждения в рамках исполнения договорных обязательств Учреждения и соблюдения требований, установленных действующим законодательством Российской Федерации.
    • Рассмотрения обращений и претензий субъекта персональных данных.
    • Осуществления функций, возложенных на Учреждение законодательством Российской Федерации.
  • Общедоступные источники персональных данных

5.1. В целях информирования о деятельности Учреждения и выполнения им уставных целей и задач, а также выполнения благотворительных программ Учреждения, могут создаваться общедоступные источники персональных данных (отчеты о деятельности Учреждения, иные отчетные документы, справочники и т.п.). В общедоступные источники персональных данных, с согласия субъекта персональных данных, могут включаться персональные данные, которые были представлены субъектом персональных данных или его представителем.

 5.2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, либо по решению суда или иных уполномоченных государственных органов Российской Федерации.

  • Правовые основания обработки персональных данных
  •  Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Учреждение осуществляет обработку персональных данных, в том числе:
  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 12.01.1996 года № 7-ФЗ «О некоммерческих организациях»;
  • Федеральный закон от 21.11.2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  • Федеральный закон от 11.08.1995 года № 135-ФЗ «О благотворительной деятельности и добровольчестве (волонтерстве)»;
  • Федеральный закон от 01.04.1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти Российской Федерации;
  • устав и локальные нормативные акты Учреждения.

6.2.  Учреждение не осуществляет обработку персональных данных в отсутствие согласия субъекта персональных данных и (или) за пределами условий обработки персональных данных, указанных в законодательстве о персональных данных, если иное не установлено законодательством Российской Федерации.

  • Категории обрабатываемых персональных данных, категории субъектов персональных данных
  •  В зависимости от целей сбора и обработки персональных данных Учреждение может обрабатывать персональные данные следующих категорий субъектов персональных данных:
  • кандидаты на вакантные должности,
  • работник, бывший работник,
  • пациенты и их представители,
  • благополучатели и их представители,
  • добровольцы (волонтеры),
  • благотворители,
  • контрагенты – физические лица, индивидуальные предприниматели с которыми заключены гражданско-правовые договоры.

7.1.1. Персональные данные кандидата на вакантные должности Учреждения.

Учреждение осуществляет обработку персональных данных кандидатов на вакантные должности Учреждения в целях, указанных в пунктах 4.1.1, 4.1.2, 4.1.3, 4.1.10, 4.1.11 настоящей Политики. Учреждение для достижения цели обрабатывает следующие данные кандидата на вакантную должность:  фамилия, имя, отчество; пол, возраст; дата и место рождения; паспортные данные; адрес места жительства, номер телефона (домашний, мобильный), адрес электронной почты; данные об образовании, квалификации, профессиональной подготовке, иные сведения, сообщенные кандидатом в резюме, сопроводительных письмах, представленных в Учреждение.

7.1.2. Персональные данные работника, бывшего работника Учреждения.

Учреждение осуществляет обработку персональных данных работников (бывших работников) Учреждения в целях, указанных в пунктах 4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.1.10, 4.1.11 Политики. Учреждение для достижения цели обрабатывает следующие данные работника, бывшего работника:  фамилия, имя, отчество; пол, возраст; дата и место рождения; паспортные данные; адрес места жительства и фактического места пребывания; номер телефона (домашний, мобильный), адрес электронной почты; данные об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации; семейное положение, сведения о составе семьи, которые могут понадобиться для предоставления льгот, предусмотренных трудовым и налоговым законодательством; фото и видео изображение; отношение к воинской обязанности; сведения о трудовом стаже, предыдущих местах работы (включая военную службу, работу по совместительству, предпринимательскую деятельность), доходах с предыдущих мест работы; идентификационный номер налогоплательщика (ИНН); реквизиты банковского счета работника; номер страхового свидетельства обязательного пенсионного страхования (СНИЛС); наличие (отсутствие) судимости; результаты обязательных  медицинских  осмотров (обследований); информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности в Учреждении и  предыдущей трудовой деятельности; сведения о доходах; сведения о деловых и иных личных качествах, носящих оценочный характер.

7.1.3.Персональные данные пациентов (благополучателей) и их представителей.

Учреждение осуществляет обработку персональных данных пациентов (благополучателей) в целях, указанных в пунктах 4.1.5, 4.1.6, 4.1.9, 4.1.10, 4.1.11 Политики. Учреждение для достижения цели обрабатывает следующие данные пациентов (благополучателей): фамилия, имя, отчество; пол, дата и место рождения, гражданство, адрес места жительства и фактического места пребывания, контактные данные, паспортные данные (данные свидетельства о рождении); фото и (или) видео изображение,  номер платёжной карты, реквизиты банковского счёта, реквизиты страхового полиса, реквизиты пенсионного удостоверения (свидетельства), образование, данные о состоянии здоровья, заболевании, диагнозе, о медицинских обследованиях/вмешательствах, результатах медицинского обследования/вмешательства, медицинских назначениях, любая другая  информация, относящаяся к личности пациента (благополучателя), доступная или известная Учреждению; сведения о  представителе пациента (благополучателя): фамилия, имя, отчество, пол, дата и место рождения, гражданство, адрес места жительства и фактического места пребывания, контактные данные (включая номера телефонов, адрес электронной почты), паспортные данные, реквизиты документа, удостоверяющего статус законного представителя представляемого, фото – и (или) видео – изображение; индивидуальный номер налогоплательщика (ИНН), семейное положение (состав семьи), номер платежной карты, реквизиты банковского счета, любая иная информация, относящаяся к личности представителя пациента (благополучателя), доступная или известная Учреждению.

7.1.4. Персональные данные добровольцев (волонтеров) Учреждения.

Учреждение осуществляет обработку персональных данных добровольцев (волонтеров) в целях, указанных в пунктах 4.1.6., 4.1.8., 4.1.10., 4.1.11. Политики.Учреждение для достижения цели обрабатывает следующие данные добровольцев (волонтеров) Учреждения: фамилия, имя, отчество; паспортные данные, пол, дата и место рождения; идентификационный номер налогоплательщика (ИНН); адрес места жительства и фактического места пребывания; контактные данные (включая номера телефонов, факса, электронной почты); фото – и (или) видео – изображение; данные об образовании, квалификации и месте работы, сведения о наличии (отсутствии) судимости, сведения о состоянии здоровья в объеме, необходимом для допуска добровольца (волонтера) к деятельности, связанной с уходом (общением) с несовершеннолетними, а также любая иная информация, относящаяся к личности добровольца (волонтера), доступная или известная Учреждению.

7.1.5.   Персональные данные благотворителей Учреждения.

Учреждение осуществляет обработку персональных данных благотворителей в целях, указанных в пунктах 4.1.6, 4.1.8, 4.1.9, 4.1.10, 4.1.11 Политики. Учреждение для достижения цели обрабатывает следующие данные благотворителей Учреждения: фамилия, имя, отчество; паспортные данные; контактные телефоны; контактные адреса электронной почты (e-mail); адрес места жительства и фактического места пребывания; номер платёжной карты, номер электронного средства платежа, реквизиты банковского счёта; идентификационный номер налогоплательщика (ИНН); фотографии и видеосъемки, а также любая иная информация, относящаяся к личности благотворителя, доступная или известная Учреждению.

7.1.6. Персональные данные контрагентов – физических лиц, индивидуальных предпринимателей Учреждения.

Учреждение обрабатывает персональные данные контрагентов — физических лиц, в том числе, индивидуальных предпринимателей, в целях, указанных в пунктах 4.1.7, 4.1.9, 4.1.10, 4.1.11. Политики. Учреждение для достижения цели обрабатывает следующие данные контрагентов Учреждения — физических лиц, индивидуальных предпринимателей: фамилия, имя, отчество; паспортные данные; адрес места жительства и фактического места пребывания; идентификационный номер налогоплательщика (ИНН); номер страхового свидетельства государственного пенсионного страхования; номера телефонов; адреса электронной почты; реквизиты банковского счета, а также  иная информация, относящаяся к личности контрагента, доступная или известная Учреждению.

7.2. Субъект персональных данных предоставляет персональные данные, а Учреждение осуществляет их дальнейшую обработку на основании согласия субъекта персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации.

7.3. Учреждение гарантирует, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.  Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Учреждение.

7.4. Письменное согласие:

7.4.1. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

7.4.2. Форма письменного согласия на обработку персональных данных определяется Учреждением и утверждается руководителем Учреждения.

7.4.3. Форма письменного согласия на обработку персональных данных в обязательном порядке включает в себя следующие реквизиты:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование, реквизиты и адрес оператора, получающего согласие субъекта персональных данных (Учреждения);
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных (представителя субъекта персональных данных).

7.4.4. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе является согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

7.4.5. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

7.5. Учреждение гарантирует, что обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

7.6. Обработка специальных категорий персональных данных, касающихся к расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только в случаях, предусмотренных федеральным законодательством.

7.7. Обработка указанных специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено законодательством Российской Федерации.

  • Сроки обработки (хранения) персональных данных
    •  Порядок хранения персональных данных, обрабатываемых в Учреждении, определяется локальными нормативными актами Учреждения в соответствии с положениями предусмотренными Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
  •  Сроки обработки (хранения) персональных данных определяются в соответствии с условиями договора с субъектом персональных данных, Приказом Росархива от 20.12.2019 N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», приказами Минздрава России, сроками исковой давности, а также иными сроками, установленными законодательством Российской Федерации и локальными нормативными актами Учреждения. Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или локальными нормативными актами Учреждения. Хранение персональных данных после истечения срока хранения допускается только после их обезличивания.
  • Способы обработки персональных данных
    •  Обработка персональных данных в Учреждении может осуществляться как с использованием, так и без использования средств автоматизации.
  •  Автоматизированная обработка персональных данных должна осуществляться в ИСПД Учреждения в строгом соответствии с настоящей Политикой и иными локальными нормативными актами Учреждения.
  •  Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы персональные данные обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков) и иным способом.
  •  Лица, осуществляющие обработку персональных данных без использования средств автоматизации (работники Учреждения), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Учреждением без использования средств автоматизации, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными нормативными актами Учреждения.
  1. Уточнение, исправление, блокировка и уничтожение персональных данных
  1.  Уточнение персональных данных

Уточнение персональных данных, обрабатываемых в Учреждении, осуществляется по запросам субъектов персональных данных, их представителей или в случае обращения уполномоченного органа по защите прав субъектов персональных данных. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации следует производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональных данных.

  1.  Блокирование персональных данных

Основанием блокирования Учреждением персональных данных, относящихся к соответствующему субъекту персональных данных, является:

  • обращение или запрос субъекта персональных данных при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
  • обращение или запрос представителя субъекта персональных данных при условии подтверждения факта недостоверности, устаревания, неполноты персональных данных, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
  • обращение или запрос уполномоченного органа по защите прав субъектов персональных данных при условии подтверждения факта недостоверности, устаревания, необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения.

10.3 Уничтожение персональных данных

Основанием для уничтожения персональных данных, обрабатываемых в Учреждении, является:

  • достижение цели обработки персональных данных;
  • утрата необходимости в достижении цели обработки персональных данных;
  • отзыв субъектом персональных данных согласия на обработку своих персональных данных за исключением случаев, когда обработка указанных персональных данных является обязательной в соответствии с законодательством Российской Федерации или договором;
  • выявление неправомерных действий с персональными данными и невозможности устранения допущенных нарушений в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления;
  • истечение срока хранения персональных данных, установленного законодательством Российской Федерации и локальными нормативными документами Учреждения;
  • предписание уполномоченного органа по защите прав субъектов персональных данных, Прокуратуры Российской Федерации или решение суда.

Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11. Сведения о реализуемых мерах к защите персональных данных

11.1.  В процессе обработки персональных данных Учреждение принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.2.  К мерам по защите персональных данных в соответствии ст. 18.1 и 19 Федерального закона №152-ФЗ «О персональных данных» относятся, в том числе, следующие:

  • назначение лица, ответственного за организацию обработки персональных данных;
  • разработка и утверждение настоящей Политики и иных локальных нормативных актов по вопросам обработки и защиты персональных данных;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • ознакомление работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными нормативными актами по вопросам обработки и защиты персональных данных;
  • доступ к обрабатываемым в Учреждении персональным данным разрешается только работникам Учреждения, занимающим должности, включенные в перечень должностей, которые осуществляют обработку персональных данных.
  1. Регламент реагирования на запросы/обращения субъектов персональных данных
  1. В случае выявления обстоятельств, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Учреждение обязано:
  2. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения.
  3. В срок, не превышающий 3 (трех) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, прекратить неправомерную обработку персональных данных, а в случае, если обеспечить правомерность обработки персональных данных невозможно, уничтожить такие персональные данные в срок, не превышающий 10 (десяти) рабочих дней с даты представления субъектом персональных данных (или его представителем) таких сведений.
  4. Уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

12.2. Формы запросов (обращений) субъектов персональных данных и их представителей приведены в приложениях 1-3 к настоящей Политике. Субъект персональных данных вправе обратиться к Учреждению в свободной форме, если приложения 1–3 к Политике не отражают ситуацию и требование субъекта персональных данных, путем направления обращения, подписанного собственноручно, по почтовому адресу Учреждения, указанному в разделе 13 Политики. Обращение субъекта персональных данных в свободной форме должно содержать:

  1. наименование Учреждения (Оператора);
    1. фамилию, имя, отчество, паспортные данные субъекта персональных данных, адрес регистрации и адрес проживания;
    1. изложение обстоятельств, на которые ссылается субъект персональных данных;
    1. требование к Учреждению в рамках действующего законодательства;
    1. способ получения ответа на обращение, с указанием реквизитов для направления ответа на обращение.
    1.  Если один из приведенных пунктов не указан в обращении, составленном в свободной форме, Учреждение вправе не направлять ответ на такое обращение и не выполнять требование, содержащееся в нем.
  1. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления обращения в Учреждение по форме, приведенной в Приложении №  3  к Политике,  на почтовый адрес Учреждения, указанный в разделе 13 Политики, почтовым отправлением.
  1. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Учреждение прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 30 (тридцати) календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Учреждением и субъектом персональных данных.
  1. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Учреждение осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством.