Политика обработки персональных данных

1. Общие положения

1.1. Политика Межрегионального общественного учреждения «Институт инженерной физики» (Далее — Институт) в отношении порядка обработки персональных данных субъектов персональных данных (Далее — Политика) разработана в целях защиты законных прав и свобод субъекта персональных данных при обработке его персональных данных Институтом, в том числе, защиты конституционных прав гражданина на неприкосновенность частной жизни, личную и семейную тайну, в рамках реализации Федерального Закона «О персональных данных» № 152-ФЗ от 27.07.2006 г.

1.2. Политика Института определяет основные принципы, цели, условия и способы обработки персональных данных (Далее — ПДн), случаи и особенности обработки ПДн, перечни субъектов и обрабатываемых в Институте ПДн, функции Института при их обработке, права субъектов персональных данных, а также реализуемые требования к защите персональных данных и конфиденциальности таких данных;

1.3. Политика разработана с учетом требований Конституции РФ, законодательных и иных нормативно-правовых актов РФ в области персональных данных и защиты информации;

1.4. Положения Политики служат основой для разработки локальных нормативных актов Института, регламентирующих вопросы обработки и защиты ПДн;

1.5. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;

1.6. Законодательные и иные нормативно-правовые акты РФ, в соответствии с которыми определена Политика:

  • Трудовой Кодекс РФ;
  • Гражданский Кодекс РФ;
  • ФЗ «О персональных данных» № 152-ФЗ от 27.07.2006 г.;
  • ФЗ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г.;
  • Указ Президента РФ «Об утверждении Перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. (ред. от 13.07.2015 г.);
  • Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» № 687 от 15.09.2008 г.;
  • Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» № 512 от 06.07.2008 г.;
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» № 1119 от 01.11.2012 г.;
  • Приказ ФСТЭК России (ред. от 14.05.2020 г.) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» № 21 от 18.02.2013 г.;
  • Приказ Роскомнадзора «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в т.ч. созданных и функционирующих в рамках реализации федеральных целевых программ») № 996 от 05.09.2013 г.;
  • «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013 г.);
  • Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 24.11.2015 г.) «О применении судами РФ Трудового кодекса Российской Федерации»;

2. Основные понятия, используемые в Политике Института

2.1. Понятия, содержащиеся в ст. 3 ФЗ «О персональных данных» и ст. 2 ФЗ «Об информации, информационных технологиях и о защите информации» используются в настоящей Политике с аналогичным значением;

2.2. Субъект персональных данных (Далее — субъект ПДн): физическое лицо (гражданин РФ), предоставляющее Оператору для обработки определенный перечень сведений (персональные данные) о себе, в объеме, достаточном для достижения конкретных целей обработки, заявленных Оператором, при этом действующее осознанно, на добровольной основе и в своих интересах.

3. Цели обработки, объем и категории обрабатываемых ПДн

3.1. Персональные данные обрабатываются Институтом (Далее — Оператор) в следующих целях:

  • заключение трудовых отношений, ведение кадровой работы и организация кадрового учета работников (кадровое делопроизводство), регулирование трудовых отношений и вопросов, непосредственно связанных с ними (обучение, повышение квалификации и т.п.);
  • привлечение соискателей и отбор кандидатов на замещаемые вакантные должности для заключения с ними в дальнейшем трудовых отношений;
  • осуществление административной и финансово-хозяйственной деятельности Института;
  • идентификация сторон договоров (контрагентов), ведение (подготовка, заключение, исполнение, продление, прекращение) договоров гражданско-правового характера с контрагентами, в т.ч. с целью осуществления коммерческой деятельности;
  • осуществление функций, полномочий и обязанностей, возложенных законодательством РФ на Институт как на юридическое лицо;
  • осуществление прав и законных интересов Института в рамках осуществления цели и видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Института, в т.ч. защита интересов Института в судебном порядке;
  • исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
  • формирование справочных материалов для внутреннего информационного обеспечения деятельности Института;
  • для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
  • обеспечение безопасности работников и посетителей Института, обеспечение сохранности имущества (организация пропускного и внутриобъектового режима);
  • проверка достоверности сведений, предоставляемых субъектом ПДн;
  • предоставление ответов на запросы субъектов ПДн, рассмотрение обращений граждан;
  • противодействие коррупции;
  • формирование и анализ статистических данных в рамках достижения исследовательских целей (при условии их обезличивания);
  • по требованиям полномочных государственных органов в случаях, предусмотренных ФЗ «О персональных данных»;
  • в иных законных целях (руководствуясь ст. 6 ФЗ «О персональных данных»);

3.2. Оператор обрабатывает запрашиваемые (предоставляемые) персональные данные субъектов ПДн в объеме, необходимом и достаточном для достижения целей обработки:

  • общие персональные данные субъекта ПДн (личная информация физического лица);
  • специальные категории персональных данных (Оператор обрабатывает сведения о социальном положении и социальных льготах, которые предоставляются в соответствии с законодательством РФ, сведения об ограничениях по здоровью, инвалидности, судимости (в порядке, установленном ФЗ «О персональных данных»);
  • персональные данные, разрешенные субъектом персональных данных для распространения (на основании согласия субъекта персональных данных на распространение с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных);
  • биометрические персональные данные Оператором обрабатываются в виде фотоизображений работников в системе СКУД с целью пропуска на территорию;

3.3. Сведения, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Институтом не обрабатываются и не запрашиваются у субъекта ПДн;

3.4. Сведения об имущественном положении и доходах субъекта ПДн Оператором не запрашиваются;

3.5. Перечень персональных данных, обрабатываемых Оператором (с учетом целей обработки персональных данных, указанных в п. 3.1):

  • фамилия, имя, отчество субъекта ПДн;
  • дата и место рождения;
  • сведения о гражданстве;
  • адрес регистрации и фактического места жительства (пребывания);
  • данные документа, удостоверяющего личность (серия, номер, сведения о выдавшем его органе и дате выдачи);
  • сведения о составе семьи и семейном положении;
  • сведения об образовании/профессии (копии дипломов/свидетельств в т.ч. о повышении квалификации, дополнительном образовании, об ученых званиях и степенях, владении иностранными языками, наличии специальных знаний и подготовки и пр.);
  • сведения о трудовой деятельности и/или воинской службе (предшествующих местах работы или службы, занимаемых ранее должностях, воинском учете, воинских или специальных званиях, классных чинах, государственных и ведомственных наградах и документах, подтверждающих эти сведения);
  • ИНН, СНИЛС;
  • данные о допуске к сведениям, составляющим государственную тайну;
  • контактная информация (номер телефона, адрес электронной почты, почтовый адрес);
  • фотография (не является персональными биометрическими данными);
  • анкетные данные, содержащие в т.ч. автобиографические сведения;

4. Категории субъектов ПДн

4.1. В Институте определены следующие категории субъектов ПДн:

  • работники Института и их близкие родственники (персональные данные данной категории обрабатываются Оператором в объеме, предусмотренном унифицированной формой № Т-2, либо в случаях, установленных законодательством РФ (оформление социальных выплат и алиментов, оформление допуска к государственной тайне);
  • бывшие работники (персональные данные данной категории обрабатываются Оператором в порядке бухгалтерского и налогового учета, в течение 5 лет с даты увольнения, а также в рамках архивного хранения, на срок 75 лет);
  • кандидаты (соискатели);
  • клиенты и контрагенты (и их представители);
  • лица, находящиеся в кадровом резерве (из числа работников Института) в случае формирования такого резерва.

5. Условия и способы обработки ПДн

5.1. Оператор получает персональные данные физического лица (контрагента) путем:

  • сверки личности субъекта ПДн (затребование оригиналов документов, сличение их с имеющимися копиями);
  • проверки достоверности сведений, указанных контрагентом в гражданско-правовом договоре, заключаемом с этим контрагентом (на основании предъявляемых им документов оператору и/или на основании уже имеющихся у Оператора документов);
  • снятием светокопий (сканированием) в цифровом виде или копированием на бумажный носитель оригиналов документов, затребованных у субъекта ПДн с последующим вводом через АРМ полученной информации в ИСПДн;
  • внесением сведений в учетные формы (на бумажных носителях) или формированием банка персональных данных в автоматизированной электронной системе;
  • выполнением иных операций, связанных с обработкой полученных ПДн;

5.2. Обработка персональных данных Оператором осуществляется следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных;

5.3. Процесс сбора и последующей обработки ПДн осуществляется Оператором на следующих условиях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка персональных данных осуществляется на законной и справедливой основе;
  • содержание и объем обработки ПДн должны соответствовать четким заявленным целям и ограничиваться их достижением;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • не допускается обработка ПДн, несовместимая с целями сбора (либо без определенной цели). Также, не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • при обработке ПДн должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Институтом принимаются необходимые меры по удалению или уточнению неполных (неточных) данных;
  • Институт без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом (конфиденциальность ПДн);
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено законодательством РФ;
  • хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6. Права и обязанности оператора

6.1. При организации процесса обработки ПДн Институт вправе:

  • требовать от субъекта ПДн предоставления достоверных сведений, необходимых для достижения заявленных целей обработки и проверять достоверность таких сведений;
  • требовать от субъекта персональных данных своевременного уточнения (актуализации) предоставленных сведений;
  • ограничивать доступ субъекта персональных данных к его персональным данным в случаях, предусмотренных законом;
  • использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством;
  • самостоятельно определять цели обработки и объем обрабатываемых ПДн;
  • осуществлять обработку без уведомления уполномоченного органа по защите прав субъектов персональных данных, в случаях, предусмотренных действующим законодательством;
  • защищать свои законные права и интересы в судебном порядке.

6.2. Институт при обработке ПДн обязан:

  • соблюдать права субъектов ПДн в части предоставления информации о наличии у него в обработке персональных данных, относящихся к соответствующему субъекту и возможности ознакомления с этими сведениями, не нарушая при этом права и законные интересы третьих лиц;
  • создавать банк ПДн (вводить данные в информационную систему персональных данных) с личного письменного согласия субъекта персональных данных, если иное не предусмотрено законом;
  • обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных физических лиц с использованием баз данных, находящихся на территории РФ;
  • брать согласие на обработку персональных данных непосредственно у субъекта персональных данных. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Институтом;
  • письменно отвечать на запросы субъектов ПДн в установленные законом сроки;
  • своевременно устранять нарушения действующего законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных;
  • назначать лиц, ответственных за обработку персональных данных, определять перечень работников Института, допущенных к обработке ПДн;
  • разъяснять субъекту ПДн юридические последствия отказа предоставлять свои персональные данные;
  • принимать меры, необходимые и достаточные для обеспечения выполнения требований законодательства РФ в области обработки персональных данных;

6.3. Институт, при обработке ПДн несет ответственность перед субъектом ПДн в установленном законодательством РФ порядке;

7. Права субъекта персональных данных

7.1. Субъект ПДн, соглашаясь с Политикой оператора по обработке его персональных данных вправе:

  • безвозмездно получать от оператора сведения о наличии в обработке персональных данных, относящихся к нему, направлять запросы оператору о предоставлении сведений об обработке его ПДн и ознакамливаться с такими сведениями;
  • отзывать свое согласие на обработку персональных данных;
  • требовать от оператора уточнения, блокирования, уничтожения его персональных данных, в случае если такие данные являются неточными, неполными, устаревшими или не являются необходимыми для заявленной цели обработки;
  • принимать предусмотренные действующим законом меры по защите своих прав в т.ч. обжаловать действия/бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (РОСКОМНАДЗОР), отстаивать свои права и интересы в судебном порядке (требовать возмещение убытков или компенсацию морального вреда).

8. Политика конфиденциальности и общие требования к защите персональных данных, реализуемые Институтом

8.1. Институт при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Институтом проводится поэтапный комплекс мероприятий, направленных на ограничение (исключение) доступа к ПДн третьих лиц;

8.2. Основными направлениями защиты персональных данных субъекта ПДн Институтом являются:

  • защита от внешнего посягательства (предотвращение противоправных действий третьих лиц, направленных на незаконное получение персональных данных и дальнейших операций с ними);
  • анализ и предотвращение внутренних угроз, связанных с компрометацией (утечкой) персональных данных, их обезличенной обработкой сотрудниками Института, защитой от несанкционированного доступа к ПДн неуполномоченными для их обработки лицами, нарушением порядка сбора, хранения и уничтожения персональных данных;

8.3. Для защиты персональных данных субъектов ПДн Институтом разрабатываются и совершенствуются внутренние локальные распорядительные документы, регламентирующие порядок обработки персональных данных в структурных подразделениях Института;

8.4. Институт не поручает обработку персональных данных третьим лицам;

8.5. Трансграничная передача персональных данных оператором не предусмотрена и не производится;

8.6. Работники Института, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных процессов;

8.7. Работники Института, осуществляющие процессы обработки ПДн, берут на себя обязательство о неразглашении, тем самым подтверждают, что полученные ими персональные данные могут быть использованы лишь в целях, для которых они были сообщены (предоставлены субъектом ПДн). Обязательство о неразглашении выполняет требования ч.1 ст. 7; п.6 ч.1 ст. 18.1 ФЗ «О персональных данных»;

8.8. Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя (п. 2 ст. 7 ФЗ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г.);

8.9. Персональные данные, указанные контрагентом в гражданско-правовом договоре, заключенном с Институтом, также носят конфиденциальный характер.

9. Заключительные положения

9.1. Политика является общедоступным документом Института и предусматривает возможность ознакомления любых лиц (неограниченный доступ) с ее действующей версией (редакцией) путем опубликования в сети Интернет по адресу: https://iifrf.ru/

9.2. Политика действует бессрочно после утверждения и до ее замены новой версией. Институт имеет право вносить изменения в Политику без уведомления любых лиц. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости. При внесении изменений в актуальной редакции указывается дата последнего обновления. Обновленная (уточненная) редакция Политики вступает в силу с момента ее размещения на официальном сайте Института;

9.3. Политика доступна на официальном сайте Института в соответствии с требованиями п. 2 ст. 18.1 ФЗ «О персональных данных»;

9.4. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.