Политика конфиденциальности Местной религиозной организации Христианская Евангельская Церковь Великого Новгорода
1. Общие положения
1.1. Настоящая политика в отношении обработки и обеспечения безопасности персональных данных (далее по тексту – Политика) в Местной религиозной организации Христианская Евангельская Церковь Великого Новгорода (далее – Оператор), разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки и защиты персональных данных субъектов персональных данных;
1.2. Политика раскрывает способы и принципы обработки персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
1.3. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных.
1.4. Целью настоящей Политики является защита интересов Оператора, его партнеров и работников, а также соблюдение требований законодательства Российской Федерации в области обработки и защиты персональных данных.
1.5. Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.
2. Правовые основания обработки персональных данных
2.1. Политика Оператора разработана в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных и определяется в соответствии со следующими документами:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации (НК РФ)
- Закон РФ от 27.12.1991 N 2124-1 (ред. от 02.12.2019) «О средствах массовой информации»;
- Федеральный закон РФ № 125-ФЗ от 26.09.1997 «О свободе совести и религиозных объединениях»;
- Федеральный закон РФ № 27-ФЗ от 01.04.1996 «Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования»;
- Федеральный закон № 255-ФЗ от 29.12.2006 «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федеральный закон № 326-ФЗ от 29.11.2010 «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон РФ № 210-ФЗ от 27.07.2010 «Об организации предоставления государственных и муниципальных услуг»;
- Постановление Правительства Российской Федерации № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;
- Положение об обработке персональных данных, осуществляемых без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации № 687 от 15.09.2008;
- Федеральный закон РФ № 152-ФЗ от 27.07.2006 «О персональных данных»;
- Устав Местной религиозной организации Христианской Евангельской Церкви Великого Новгорода.
2.2. Во исполнение настоящей Политики руководителем Оператора утверждены следующие локальные правовые акты:
- Приказ о назначении ответственных лиц в отношении обработки и обеспечения безопасности персональных данных;
- Инструкция ответственного за организацию обработки персональных данных;
- Инструкция ответственного за обеспечение безопасности персональных данных;
- Приказ об утверждении политики в отношении обработки и обеспечения безопасности персональных данных;
- Политика в отношении обработки и обеспечения безопасности персональных данных;
- Приказ об утверждении Положения об обработке персональных данных;
- Положение об обработке персональных данных;
- Приказ об утверждении перечня обрабатываемых персональных данных;
- Типовое соглашение о неразглашении информации, содержащей персональные данные;
- Типовое согласие на обработку персональных данных работника;
- Типовое согласие на обработку персональных данных физических лиц;
- Приказ о допуске к обработке персональных данных и утверждения перечня помещений, в которых ведется обработка персональных данных;
- Инструкция по рассмотрению обращений субъектов персональных данных и их законных представителей;
- Инструкция по порядку уничтожения и обезличивания персональных данных;
- Инструкция по проведению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
3. Категории персональных данных
3.1. Персональными данными считаются сведения, относящиеся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных), обрабатываемые Оператором для достижения заранее определенных целей.
3.2. Обработка специальной категории персональных данных, касающихся религиозных убеждений членов (участников) Оператора осуществляется в соответствии с п. 1, пп. 1,5 п. 2 ст. 10 Федерального закона Российской Федерации №152-ФЗ от 27 июля 2006 года «О персональных данных», при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных. Обработка специальной категории персональных данных, касающихся религиозных убеждений, расовой, национальной принадлежности иных персональных данных осуществляется исключительно на основании согласия в письменной форме.
3.3. Оператор не осуществляет обработку специальных категорий персональных данных, политических взглядов, состояния здоровья, интимной жизни субъектов персональных данных.
3.4. Оператор не осуществляет обработку биометрических данных.
3.5. Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
- волонтеры;
- физические лица, являющиеся работниками Оператора и их близкие родственники;
- уволенные работники;
- физические лица, осуществляющие выполнение работ по оказанию услуг и заключившие с Оператором договор гражданско-правового характера;
- физические лица, являющиеся членами (участниками) Оператора/или членами его коллегиальных органов управления;
- физические лица, являющиеся рукоположенными священнослужителями;
- физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о персональных данных;
- физические лица, про которых может быть опубликован материал в христианской газете «Ладья» учредителем которой является оператор.
4. Принципы обработки персональных данных
4.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе.
4.2. Оператор осуществляет обработку персональных данных с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.
4.3. Оператор ограничивает обработку персональных данных достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, отвечающие целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях.
4.5. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
4.6. При обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям обработки.
4.7. Хранение ПДН осуществляется в форме, позволяющей определение субъекта ПДН, не дольше, чем того требуют цели обработки ПДН, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого или поручителем по которому является субъект ПДН. Обрабатываемые ПДН подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.8. Оператор обеспечивает безопасность персональных данных посредством выполнения согласованных мероприятий, направленных на предотвращение и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.
5. Цели сбора и обработки персональных данных
5.1. Обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Организации.
5.2. Оформление и исполнение трудовых отношений.
5.3. Защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
5.4. Подготовка, заключение, исполнение и прекращение договоров с контрагентами.
5.5. Осуществление прав и законных интересов Оператора в рамках целей, задач, форм и видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей.
5.6. Сбор и обработка персональных данных возможны в иных законных целях.
6. Условия обработки персональных данных
6.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных».
6.2. Оператор осуществляет обработку персональных данных с согласия субъекта персональных данных на их обработку.
6.3. Обработка персональных данных в Организации допускается в следующих случаях:
- исполнение полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом № 210-ФЗ от 27 июля 2010 года «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и региональных порталах государственных и муниципальных услуг;
- осуществление и выполнение возложенных на Оператора законодательством Российской Федерации функций, обязанностей и полномочий;
- осуществление правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- исполнение договора, одной из сторон которого, либо выгодоприобретателем, либо поручителем по которому является субъект персональных данных, для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных становится выгодоприобретателем или поручителем;
- для защиты здоровья, жизни или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- осуществление прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
- в случае, если доступ неограниченного круга лиц к персональным данным предоставлен самим субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);
- в случае, если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
6.4. Оператор может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Оператор должен получить письменное согласие субъекта на обработку его персональных данных.
6.5. Оператором не осуществляется принятие решений, основанных исключительно на автоматизированной обработке персональных данных и порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
6.6. Субъект персональных данных может дать согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт его получения, за исключением случаев, требующих обязательного письменного согласия.
6.7. С согласия субъекта персональных данных, если Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных» не предусмотрено иное, Оператор вправе поручить обработку персональных данных третьему лицу на основании заключаемого с этим лицом договора (далее – поручение Оператора). При этом Оператор в договоре обязует третье лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных».
6.8. При условии обработки персональных данных третьим лицом по поручению Оператора указанное лицо несет ответственность за свои действия перед Оператором, в то время как ответственность перед субъектом персональных данных за действия указанного лица несет Оператор.
6.9. Оператор и иные лица, получившие доступ к персональных данных по поручению Оператора, обязуются не разглашать информацию, содержащуюся в персональных данных, третьим лицам без согласия субъекта персональных данных, за исключением ситуаций, предусмотренных законодательством Российской Федерации.
7. Права субъекта персональных данных
7.1. Субъект персональных данных имеет право принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.
7.2. Субъект персональных данных имеет право принимать решение о предоставлении своих персональных данных Оператору, отзывать согласие на их обработку, требовать исключить свои персональные данные их общедоступных источников.
7.3. Субъект персональных данных имеет право получить по запросу информацию, касающуюся обработки его персональных данных, либо письменный отказ, предоставленный на законных основаниях.
7.4. Субъект персональных данных имеет право требовать от Оператора уточнения, блокировки либо удаления персональных данных, в случае, если они являются неполными, неточными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.5. Право субъекта ПДН на доступ к его ПДН может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДН к его ПДН нарушает права и законные интересы третьих лиц.
8. Обязанности организации
8.1. Обязанности Оператора продиктованы требованиями Федерального закона № 152-ФЗ «О персональных данных».
8.2. Оператор обязан предоставить по запросу субъекта персональных данных информацию, касающуюся обработки его персональных данных, либо письменный отказ, предоставленный на законных основаниях.
8.3. Оператор обязан по требования субъекта персональных данных внести уточнения, блокировать либо удалить персональные данные в случае, если они являются неполными, неточными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.4. Оператор обязан вести Журнал учета обращений субъектов персональных данных и фиксировать в нем запросы субъектов персональных данных на получение персональных данных, а также факты предоставления ответов по этим запросам.
8.5. Оператор обязан уведомлять субъектов персональных данных об обработке персональных данных, полученных от третьих лиц.
8.6. Допустимо не уведомлять субъект персональных данных об обработке персональных данных, полученных от третьих лиц, в следующих случаях:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором, предоставившим информацию;
- персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных нарушает права и законные интересы третьих лиц.
8.7. В случае достижения цели обработки персональных данных Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональных данных в срок, не превышающий тридцати дней с даты достижения цели их обработки, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных, либо Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных» или другими федеральными законами.
8.8. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
9. Сроки обработки и хранения персональных данных
9.1. Срок обработки персональных данных начинается с момента их получения Оператором.
9.2. Хранение персональных данных в форме, позволяющей определить субъект персональных данных, осуществляется Оператором не дольше, чем того требуют цели их обработки.
9.3. Персональные данные работников Оператора, в том числе родственников работника, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).
9.4. Персональные данные членов коллегиальных органов управления Оператора прекращается по истечении трех лет с момента прекращения такого членства (участия).
9.5. Персональные данные граждан, обратившихся к Оператору в установленном порядке, хранятся в делах структурных подразделений Оператора в течение срока, определённого законодательством.
10. Уточнение, блокирование и уничтожение персональных данных
10.1. Уточнение персональных данных, в том числе обновление и изменение, осуществляется с целью обеспечения достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.
10.2. Инициатором уточнения персональных данных могут выступать Оператор, субъект персональных данных, уполномоченный орган по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
10.3. Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
10.4. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокировки.
10.5. Уничтожение персональных данных осуществляется Оператором по достижении цели обработки персональных данных, в случае утраты необходимости в достижении целей обработки персональных данных, в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных либо по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
10.6. При уничтожении материальных носителей персональных данных составляется акт об их уничтожении.
11. Защита персональных данных
11.1. Лица, ответственные за обеспечение безопасности персональных данных обязаны обеспечить принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее – меры по обеспечению безопасности персональных данных).
11.2. Меры по обеспечению безопасности принимаются с учетом объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, возможностей технической реализации этих мер, а также возможного вреда субъекту персональных данных.
11.3. Меры по обеспечению безопасности принимаются для достижения следующих целей:
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение конфиденциальности документированной информации в соответствии с законодательством;
- предотвращение утечки, хищения, утраты, искажения, подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению;
- предотвращение модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.
11.4. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональных данных и принятием мер по предотвращению использования персональных данных третьими лицами;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональных данных в информационной системе персональных данных;
- контролем за мерами, принимаемыми в целях обеспечения безопасности персональных данных и уровня защищенности информационных систем персональных данных.
12. Заключительные положения
12.1. Политика утверждается и вводится в действие приказом, подписанным руководителем Оператора.
12.2. Оператор имеет право вносить в Политику изменения и дополнения в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
12.3. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.