Политика в отношении обработки персональных данных

1. Общие положения

Политика в отношении обработки персональных данных Автономной некоммерческой организации «Центр поддержки предпринимательства и развития экспорта Оренбургской области» (далее – Политика) определяет политику Автономной некоммерческой организации «Центр поддержки предпринимательства и развития экспорта Оренбургской области» (далее – Центр) в отношении обработки персональных данных и реализации мер по защите персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Настоящая политика реализует основную цель Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», которая заключается в обеспечении защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Настоящей Политикой установлены меры по обеспечению защиты персональных данных. В целях обеспечения неограниченного доступа к настоящей Политике, документ размещается на информационных стендах в офисах и на сайте Центра https://мойбизнес56.рф/

2. Основные понятия

В настоящей Политике используются следующие основные понятия: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Защита персональных данных – комплекс мер, принимаемых Центром для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

Ответственный за организацию обработки персональных данных – должностное лицо Центра, назначенное приказом руководителя Центра, организующее разработку и внедрение правовых, организационных и технических мер в Центре, с целью обеспечения обработки и защиты персональных данных в Центре, в соответствии с положениями законодательства Российской Федерации в области обработки и защиты персональных данных.

3. Правовые основы обработки персональных данных

Обработка персональных данных в Центре осуществляется в соответствии со следующими нормативными правовыми актами:

- Конституция Российской Федерации от 12 декабря 1993 г. (ст. ст. 2, 17-24, 41);

- Гражданский кодекс Российской Федерации (части 1, 2, 4);

- Трудовой кодекс Российской Федерации (глава 14 (ст. 86-90));

- Налоговый кодекс Российской Федерации;

- Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон Российской Федерации от 24 июля 2007 г. № 209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации»;

- Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

- Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- Устав Центра и иные нормативные правовые акты, регулирующие отношения, связанные с обработкой и защитой персональных данных.

В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Центра, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

4. Принципы обработки персональных данных

Обработка персональных данных осуществляется Центром в соответствии со следующими принципами:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; Центр принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Цели обработки персональных данных

Центр обрабатывает персональные данные сотрудников, получателей поддержки (предпринимателей и самозанятых), исполнителей по договорам и партнеров для следующих целей:

- Управление персоналом: Определение правил обработки персональных данных сотрудников (в том числе бывших сотрудников, родственников работников) Центра;

- Оказание поддержки бизнесу: Предоставление комплекса услуг (информационных, консультационных, образовательных) гражданам, предпринимателям и самозанятым для вовлечения в предпринимательскую деятельность, развития бизнеса и доступа к экспортной поддержке. Обеспечение работы единой площадки региональной инфраструктуры поддержки бизнеса, включая взаимодействие с федеральными институтами развития, СМСП и резидентами промышленных парков/технопарков;

- Взаимодействие с контрагентами: Обеспечение исполнения договорных обязательств с исполнителями по договорам оказания услуг, поставки и т.д. и поддержание партнерских отношений с партнерскими организациями.

- Защита прав субъектов персональных данных: Обеспечение соблюдения прав и свобод человека и гражданина при обработке персональных данных, включая защиту частной жизни, личной и семейной тайны.

- Ответственность за нарушения: Установление ответственности должностных лиц, имеющих доступ к персональным данным, за несоблюдение требований законодательства в области обработки и защиты персональных данных.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических персональных данных, Центром не осуществляется.

6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

6.1. В соответствии с целями обработки персональных данных, указанными в п. 5 настоящей Политики, Центром осуществляется обработка следующих категорий субъектов персональных данных:

- работники;

- родственники работников;

- уволенные работники;

- контрагенты;

- получатели региональных мер господдержки (субъекты МСП, физические лица, применяющие специальный налоговый режим «Налог на профессиональный доход», физические лица, зарегистрированные на территории Оренбургской области, заинтересованные в начале осуществления предпринимательской деятельности).

6.2. В соответствии с целями обработки персональных данных, указанными в п. 5 настоящей Политики, Центром осуществляется обработка следующих персональных данных:

6.2.1. Управление персоналом:

- фамилия, имя, отчество;

- дата рождения;

- год рождения;

- место рождения;

- семейное положение;

- степень родства;

- доходы;

- пол;

- адрес места жительства;

- адрес регистрации;

- номер телефона;

- СНИЛС;

- ИНН;

- гражданство;

- данные документа, удостоверяющего личность;

- номер расчетного счета;

- номер лицевого счета;

- профессия;

- должность;

- сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

- отношение к воинской обязанности, сведения о воинском учете; - сведения об образовании;

- данные водительского удостоверения;

- государственные награды, иные награды и знаки отличия;

- сведения о профессиональной переподготовке и (или) повышении квалификации;

- данные о трудовом договоре;

- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

- сведения о владении иностранными языками и языками народов Российской Федерации; - сведения об изменении фамилии, имени, отчества; - сведения об ученой степени, ученом звании;

- размер заработной платы;

- свидетельства о государственной регистрации актов гражданского состояния;

- степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).

6.2.2 Взаимодействие с контрагентами:

- фамилия, имя, отчество;

- данные документа, удостоверяющего личность;

- номер телефона;

- адрес электронной почты;

- ИНН;

- документы, подтверждающие наличие соответствующего образования (дипломы, сертификаты, удостоверения);

- документы, подтверждающие наличие соответствующего опыта оказания услуг/выполнения работ/поставки товара.

6.2.3. Оказание поддержки бизнесу:

- фамилия, имя, отчество;

- пол;

- адрес электронной почты;

- номер телефона;

- ИНН.

7. Перечень действий с персональными данными и способы обработки

7.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.2. Обработка осуществляется с использованием средств автоматизации и без их использования.

7.3. Все персональные данные обрабатываются и хранятся исключительно на территории Российской Федерации на серверах, находящихся в РФ. Трансграничная передача данных не осуществляется.

8. Условия обработки персональных данных

8.1. Работникам Центра, имеющим право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе, в соответствии с функциями, предусмотренными должностными инструкциями.

Информация вносится как в автоматическом режиме при получении персональных данных из федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)», так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

8.2. При оказании профильных услуг для бизнеса, комплексных услуг субъектам малого и среднего предпринимательства, информационно - консультационных услуг Центром может осуществляться обработка персональных данных на бумажных носителях и в электронном виде.

8.3. Центром осуществляется обработка персональных данных исполнителя по договору в рамках участия в закупках. В рамках заключенного договора, Центру исполнителем по договору предоставляются персональные данные получателей региональных мер господдержки (субъекты МСП, физические лица, применяющие специальный налоговый режим «Налог на профессиональный доход», физические лица, зарегистрированные на территории Оренбургской области, заинтересованные в начале осуществления предпринимательской деятельности) в целях ведения реестра получателей поддержки.

8.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.

Доступ работников Центра к персональным данным, находящимся в информационных системах персональных данных Центра, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

8.5. Обмен персональными данными при их обработке в информационных системах персональных данных Центра осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и применения программных и технических средств в соответствии со статьей 19 Федерального закона «О персональных данных».

8.6 В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Центра уполномоченными должностными лицами Центра принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.

8.7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Центром без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Центра.

Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются приказом Центра.

8.8. Обработка персональных данных допускается только при наличии согласия субъекта данных, либо в случаях, предусмотренных законодательством РФ.

Согласие на обработку персональных данных предоставляется отдельно, посредством электронных форм на сайте или иных предусмотренных способов. Для сбора cookie и иных технических данных требуется отдельное согласие.

8.9. Оператор и его работники обязаны соблюдать конфиденциальность персональных данных, не раскрывать их третьим лицам без согласия субъекта, за исключением случаев, установленных законом.

 

9. Сроки обработки и хранение персональных данных

9.1. Обработка персональных данных в Центре начинается с момента получения от субъекта персональных данных согласия на обработку его персональных данных и прекращается моментом отзыва субъектом персональных данных согласия на обработку его персональных данных, если иное не предусмотрено федеральным законом.

9.2. Хранение персональных данных в Центре осуществляется в виде электронных файлов на несъемных машинных носителях ПЭВМ, а также на бумажных носителях информации.

Сроки хранения персональных данных определяются целями, для которых эти персональные данные обрабатываются в Центре, а также федеральным законодательством, но не может превышать более 5 лет.

9.3. Обрабатываемые персональные данные в Центре уничтожаются в следующих случаях:

- в случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;

- в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных;

- в случае прекращения деятельности Центра.

9.4. Ответственным за уничтожение персональных данных является лицо, ответственное за организацию обработки персональных данных. При наступлении любого из событий, повлекших необходимость уничтожения персональных данных, лицо, ответственное за организацию обработки персональных данных обязано:

- принять меры к уничтожению персональных данных;

- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных) и представить Акт на утверждение руководителю Центра;

- в случае необходимости уведомить об уничтожении персональных данных субъекта персональных данных и/или уполномоченный орган.

10. Актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.

10.1. Субъект персональных данных имеет право на получение информации (далее - запрашиваемая субъектом информация), касающейся обработки его персональных данных, в соответствии со статьей 9 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных».

10.2. Субъект персональных данных вправе требовать от Центра уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.3. Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Центром в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Центром в течение пятнадцати рабочих дней с момента обращения либо получения Центром запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Центром в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Центром (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Центром, подпись субъекта персональных данных или его представителя (далее - необходимая для запроса информация). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Центр предоставляет запрашиваемые сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе.

В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Центр или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими персональными данными не ранее чем через тридцать дней (далее — нормированный срок запроса) после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.

Субъект персональных данных вправе обратиться повторно в Центр или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения нормированного срока запроса, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование направления повторного запроса.

Центр вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Центре.

10.4. Центр при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Центр прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Агентства) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Центром и субъектом персональных данных либо если Центр не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

10.6. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных Центр в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных».

Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Центром в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Центр блокирует такие персональные данные и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

10.7. Иные обязанности Центра по устранению нарушений законодательства, допущенных при обработке персональных данных осуществляются в соответствии с законодательством Российской Федерации в сфере обработки персональных данных.

11. Порядок изменения политики

Настоящая Политика подлежит изменению, дополнению в случае изменения законов Российской Федерации и иных нормативных правовых актов в сфере обработки и защиты персональных данных. Новая редакция вступает в силу с момента размещения на сайте, если иное не предусмотрено новой редакцией.