ПОЛИТИКА

Санкт-Петербургского государственного бюджетного учреждения

«Подростково-молодежный центр «Петроградский»

в отношении обработки персональных данных

Санкт-Петербург, 27 мая 2025 г.

1.ОБЩИЕ ПОЛОЖЕНИЯ

1.1.     Политика Санкт-Петербургского государственного бюджетного учреждения «Подростково-молодежный центр «Петроградский» (далее – Политика) разработана в целях реализации положений, предусмотренных пунктом 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон
№ 152-ФЗ).
1.2. Настоящая Политика определяет общий порядок, принципы, цели и условия обработки персональных данных, осуществляемых в Санкт-Петербургском государственном бюджетном учреждении «Подростково-молодежный центр «Петроградский» (далее – Учреждение, оператор, оператор персональных данных), с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, без использования таких средств или путем смешанной обработки, меры по обеспечению безопасности персональных данных при их обработке в Учреждении в целях реализации требований законодательства о персональных данных и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность работников Учреждения, имеющих доступ к персональным данным и/или осуществляющих обработку персональных данных, за невыполнение положений законодательства Российской Федерации в области персональных данных.
1.3.     В Политике используются термины и определения в соответствии
с их значениями, определенными законодательством Российской Федерации в области персональных данных:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ;
биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
оператор персональных данных (оператор) – Учреждение, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
сбор персональных данных – действия, направленные на получение оператором персональных данных о субъекте (субъектах) персональных данных;
удаление персональных данных – совокупность действий, направленных на исключение персональных данных из информационной системы или базы персональных данных;
доступ к персональным данным – возможность ознакомления с персональными данными, включая визуальное ознакомление и (или) копирование персональных данных;
систематизация персональных данных – упорядочение персональных данных, приведение их в согласованную, взаимосвязанную систему;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4.     Права и обязанности работников Учреждения, имеющих доступ
к персональным данным и/или осуществляющих обработку персональных данных,
и субъектов персональных данных устанавливаются Федеральным законом № 152-ФЗ, иными федеральными законами, а также подзаконными нормативными правовыми актами, Уставом Учреждения и локальными правовыми актами Учреждения.
1.5.     Политика вступает в силу с момента утверждения директором
Учреждения и действует до ее отмены или утверждения новой редакции Политики.
Учреждение в установленных законодательством случаях публикует Политику
на официальном сайте Учреждения или иным образом обеспечивает неограниченный доступ к Политике.
1.6.     В случае внесения изменений в действующее законодательство Российской Федерации, регулирующее защиту персональных данных и отношения, связанные с обработкой персональных данных, настоящая Политика подлежит изменению, до внесения соответствующих изменений настоящая Политика применяется в части не противоречащей действующему законодательству Российской Федерации.

2.        ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.     Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ.
2.2.     Обработка персональных данных Учреждением производится на основе следующих принципов:
2.2.1. Обработка персональных данных должна осуществляться на законной
и справедливой основе;
2.2.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2.3.  Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.2.4.  Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.2.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные
не должны быть избыточными по отношению к заявленным целям их обработки.
2.2.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
2.2.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных
не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное
не предусмотрено федеральным законом.

3.        ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Работники Учреждения, имеющие доступ к персональным данным и осуществляющие обработку персональных данных, осуществляют обработку персональных данных в целях осуществления видов деятельности, предусмотренных Уставом Учреждения, для достижения следующих целей:
3.1.1. В отношении субъектов персональных данных – работников Учреждения, включая ранее работавших в Учреждении, членов семьи, родственников работников Учреждения, лиц, претендующих на замещение вакантных должностей в Учреждении – в целях соблюдения требований трудового законодательства, касающихся трудовых отношений и иных непосредственно связанных с ними отношений, включая:
- подбор персонала (соискателей) на вакантные должности Учреждения;
- ведение кадрового и бухгалтерского учета, делопроизводства;
- оформление доверенностей, командировок;
- обеспечения соблюдения налогового законодательства, подготовка документов бухгалтерской и налоговой отчетности;
- осуществление выплат работникам заработной платы;
- соблюдение страхового законодательства (в т.ч. представление сведений
об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования);
- предоставление льгот, гарантий и компенсаций отдельным категориям работников Учреждения (инвалидам, работникам, имеющим детей-инвалидов, несовершеннолетних детей и пр.);
- обеспечение воинского учета военнообязанных работников;
- проведение официального статистического учета;
- обеспечение соблюдения законодательства об исполнительном производстве;
- исполнение судебных актов; 
- обеспечение пропускного и внутриобъектового режимов на территории объектов Учреждения;
- обеспечение контроля исполнения трудовых обязанностей работниками;
- оформление награждений и поощрений работников;
- привлечение работников к дисциплинарной и материальной ответственности;
- направление работников на профессиональное образование и профессиональное обучение, дополнительное профессиональное образование;
- обеспечение сохранности имущества Учреждения;
- при проведении медицинских осмотров работников;
- при проведении инструктажей работников;
- выполнение Учреждением иных функций, полномочий и задач в рамках соблюдения требований трудового законодательства и иных требований законодательства, непосредственно связанных с трудовыми отношениями.
3.1.2. В отношении субъектов персональных данных – лиц, желающих заключить или заключивших с Учреждением гражданско-правовые договоры (контракты, соглашения)
в рамках уставной деятельности Учреждения при закупках товаров, работ услуг для нужд Учреждения – в целях выполнения возложенных на Учреждение функций, полномочий
и обязанностей, касающихся соблюдения требований Федерального закона от 05.04.2013
№ 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», налогового законодательства,
- подготовка, заключение и исполнение гражданско-правовых договоров (контрактов, соглашений);
- ведение бухгалтерского учета;
- соблюдение налогового законодательства, подготовка документов бухгалтерской
и налоговой отчетности;
- соблюдение законодательства об охране здоровья, законодательства о санитарно-эпидемиологическом благополучии населения; 
- обеспечение пропускного и внутриобъектового режимов на территории объектов Учреждения.

3.1.3. В отношении субъектов персональных данных – лиц, желающих заключить или заключивших с Учреждением гражданско-правовые договоры, соглашения при осуществлении Учреждением деятельности, приносящей доход (организация кружков, спортивно-оздоровительных клубов и секций; групп здоровья; проведение спортивных выступлений и соревнований, организация поездок и реализация путевок в детский оздоровительный лагерь; проведение концертов, фестивалей, праздников, семинаров, конференций, мастер-классов) – в целях соблюдения законодательства о защите прав потребителей, включая:
- подготовка, заключение и исполнение гражданско-правовых договоров (контрактов, соглашений);
- ведение бухгалтерского учета;
- соблюдение налогового законодательства, подготовка документов бухгалтерской
и налоговой отчетности;
- соблюдение страхового законодательства (представление сведений
об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования);
- соблюдение законодательства о защите прав потребителей;
- соблюдение законодательства об охране здоровья, законодательства о санитарно-эпидемиологическом благополучии населения; 
- обеспечение пропускного и внутриобъектового режимов на территории объектов Учреждения.
3.1.4. В отношении субъектов персональных данных – детей, подростков, молодежи и их родителей при осуществлении видов деятельности, предусмотренных Уставом Учреждения, включая:
- обеспечение пропускного и внутриобъектового режимов на территории объектов Учреждения;
- соблюдение законодательства об охране здоровья, законодательства о санитарно-эпидемиологическом благополучии населения.
3.1.5. В отношении субъектов персональных данных – лиц (заявителей), персональные данные которых используются при приеме и обработке обращений граждан – в целях выполнения возложенных на Учреждение функций, полномочий и обязанностей, касающихся соблюдения требований Федерального закона от 02.05.2006 № 59-ФЗ
«О порядке рассмотрения обращений граждан Российской Федерации», включая:
- рассмотрение обращений граждан, поступивших в Учреждение, подготовка
и направление ответов заявителям;
- направление обращений граждан в соответствующий орган или соответствующему должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов, с уведомлением заявителей;
- обеспечение пропускного и внутриобъектового режимов на территории объектов Учреждения при организации получения обращений граждан на личном приеме работниками Учреждения.             
3.1.6. В отношении субъектов персональных данных – работников Учреждения, включая ранее работавших в Учреждении, членов семьи, родственников работников Учреждения (супруг (супруга), близкий родственник по прямой восходящей или нисходящей линии (отец, мать, дедушка, бабушка, сын, дочь, внук, внучка), полнородный или неполнородный (имеющий общих с должностным лицом Учреждения отца или мать) брат (сестра), лицо, усыновленное должностным лицом заказчика, либо усыновитель работника Учреждения) – в целях соблюдения законодательства о противодействии коррупции, включая предотвращение и урегулирование конфликта интересов при осуществлении деятельности в рамках уставной деятельности Учреждения, в т.ч. при закупках товаров, работ услуг для нужд Учреждения в соответствии с требованиями Федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», а также при осуществлении Учреждением деятельности, приносящей доход.
3.1.7. В отношении субъектов персональных данных – лиц, посещающих территорию и объекты Учреждения; лиц, направленных в Учреждение в командировку или
на стажировку (практику), лиц являющихся работниками организаций, осуществляющих поставку товаров, выполняющих работы (оказывающих услуги) на объектах Учреждения – в целях обеспечения внутриобъектового и пропускного режимов на территории объектов Учреждения для обеспечения безопасности работников, посетителей Учреждения, исключения возможности бесконтрольного входа (выхода) лиц, въезда (выезда) транспортных средств, вноса (выноса), ввоза (вывоза) имущества на объекты (с объектов) Учреждения.

4. ПPABOBЫЕ ОСНОВАНИЯ, УСЛОВИЯ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, осуществляют обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности
и воинской службе»;
- постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке
в информационных системах персональных данных»;
- постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований
и методов по обезличиванию персональных данных»;
- приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава
и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- иные федеральные законы, а также подзаконные правовые акты, регулирующие вопросы обработки персональных данных;
- Устав Учреждения;
- локальные правовые акты Учреждения, регулирующие вопросы обработки персональных данных;
- согласия на обработку персональных данных;
- договоры (трудовые, гражданско-правовые), заключаемые между Учреждением и субъектом персональных данных.
4.2. Обработка персональных данных осуществляется в следующих случаях:
4.2.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
4.2.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации
на Учреждение функций, полномочий и обязанностей;
4.2.3. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии
с законодательством Российской Федерации об исполнительном производстве;
4.2.4. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
4.2.5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4.2.6. обработка персональных данных необходима для осуществления прав
и законных интересов Учреждения или третьих лиц;
4.2.7. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона № 152-ФЗ, при условии обязательного обезличивания персональных данных;
4.2.8. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
4.2.9. в иных случаях, предусмотренным Федеральным законом № 152-ФЗ.
4.3. Особенности обработки специальных категорий персональных данных,
а также биометрических персональных данных устанавливаются Федеральным законом №152-ФЗ.

5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. С учетом целей обработки персональных данных и в зависимости от категории субъектов персональных данных уполномоченные работники Учреждения осуществляют обработку следующих категорий персональных данных:
5.1.1. В отношении субъектов персональных данных – лиц, претендующих
на замещение вакантных должностей в Учреждении – в целях соблюдения требований трудового законодательства, касающихся трудовых отношений и иных непосредственно связанных с ними отношений в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия, имя, отчество (при наличии) (в том числе предыдущие фамилии, имена, отчества (при наличии) (в случае их изменения);
- дата рождения (число, месяц, год рождения);
- пол;
- сведения о гражданстве;
- реквизиты документов, удостоверяющих личность (вид, серия, номер документа, дата его выдачи, наименование и код подразделения выдавшего органа);
- адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона или сведения о других способах связи, в том числе адрес электронной почты (при наличии);
- реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
- данные свидетельства о постановке на учет в налоговом органе;
- данные полиса обязательного медицинского страхования;
- сведения об образовании и реквизиты документов об образовании;
- сведения о профессии, о повышении квалификации и профессиональной переподготовке, о пройденных курсах, полученных сертификатах;
- сведения о трудовой деятельности (информация о предыдущих местах работы, периодах и стаже);
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения о социальных льготах и государственном социальном обеспечения;
- сведения о наличии/отсутствии судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
- сведения о владении иностранным языком;
- биографические данные (анкета, автобиография и т.п.);
- сведения об ученых степенях и званиях;
- сведения о государственных наградах, иных наградах и знаках отличия;
- сведения о спортивных достижениях;
- данные о публикациях и участии в грантах (конкурсах);
- реквизиты документов (вид, серия, номер документа, дата его выдачи, наименование выдавшего органа или лица), подтверждающих полномочия представителей (в том числе законных представителей) субъектов персональных данных;
- данные предварительного медицинского осмотра при приеме на работу
(в случаях, предусмотренных законодательством);
- уровень владения иностранными языками;
- сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории Российской Федерации (для иностранных граждан, пребывающих в Российской Федерации);
- сведения, содержащиеся в разрешении на временное проживание (для иностранных граждан, временно проживающих в Российской Федерации), о виде на жительство
(для иностранных граждан, постоянно проживающих в Российской Федерации);
5.1.2. В отношении субъектов персональных данных – работников Учреждения, включая ранее работавших в Учреждении – в целях соблюдения требований трудового законодательства, касающихся трудовых отношений и иных непосредственно связанных
с ними отношений в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия, имя, отчество (при наличии) (в том числе предыдущие фамилии, имена, отчества (при наличии) (в случае их изменения);
- дата рождения (число, месяц, год рождения);
- место рождения;
- пол;
- сведения о гражданстве;
- реквизиты документов, удостоверяющих личность (вид, серия, номер документа, дата его выдачи, наименование и код подразделения выдавшего органа);
- адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона или сведения о других способах связи, в том числе адрес электронной почты (при наличии);
- реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
- данные свидетельства о постановке на учет в налоговом органе;
- данные полиса обязательного медицинского страхования;
- сведения об образовании и реквизиты документов об образовании;
- сведения о профессии, о повышении квалификации и профессиональной переподготовке, о пройденных курсах, полученных сертификатах;
- сведения о трудовой деятельности (информация о предыдущих местах работы, периодах и стаже);
- табельный номер;
- сведения о воинском учете и реквизиты документов воинского учета;
- сведения о семейном положении, составе семьи, ближайших родственниках и/или законных представителях;
- данные документов о регистрации актов гражданского состояния (свидетельства о рождении детей, о заключении брака и т.п.);
- данные о номере расчетного счета, банковских реквизитах;
- сведения о социальных льготах и государственном социальном обеспечения;
- сведения о ежегодных оплачиваемых отпусках, отпусках по беременности
и родам, отпусках по уходу за ребенком, учебных отпусках и отпусках без сохранения заработной платы;
- сведения о наличии/отсутствии судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
- сведения о владении иностранным языком;
- биографические данные (анкета, автобиография и т.п.);
- сведения об ученых степенях и званиях;
- сведения о государственных наградах, иных наградах и знаках отличия;
- сведения о спортивных достижениях;
- данные о публикациях и участии в грантах (конкурсах);
- реквизиты документов (вид, серия, номер документа, дата его выдачи, наименование выдавшего органа или лица), подтверждающих полномочия представителей (в том числе законных представителей) субъектов персональных данных;
- данные листка нетрудоспособности;
- сведения о наложенных штрафах, взыскиваемых алиментах и других задолженностях субъектов персональных данных, взыскиваемых в соответствии
с исполнительными документами организацией по месту работы;
- данные о состоянии здоровья, полученные в рамках предварительных при поступлении на работу и периодических медицинских осмотров (в случаях, предусмотренных законодательством);
- уровень владения иностранными языками;
- сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории Российской Федерации (для иностранных граждан, пребывающих в Российской Федерации);
- сведения, содержащиеся в разрешении на временное проживание (для иностранных граждан, временно проживающих в Российской Федерации), о виде на жительство (для иностранных граждан, постоянно проживающих в Российской Федерации);
- биометрические персональные данные (данные изображения лица, полученные с помощью фото-видео устройств).
5.1.3. В отношении субъектов персональных данных – членов семьи, родственников работников Учреждения – в целях соблюдения требований трудового законодательства, касающихся трудовых отношений и иных непосредственно связанных с ними отношений
в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия, имя, отчество (при наличии) (в том числе предыдущие фамилии, имена, отчества (при наличии) (в случае их изменения);
- дата рождения (число, месяц, год рождения);
- реквизиты документов, удостоверяющих личность (вид, серия, номер документа, дата его выдачи, наименование и код подразделения выдавшего органа);
- адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона или сведения о других способах связи (в том числе адрес электронной почты);
- сведения о составе семьи, ближайших родственниках и/или законных представителях;
- данные документов о регистрации актов гражданского состояния (свидетельства о рождении, о заключении брака и т.п.);
- реквизиты документов (вид, серия, номер документа, дата его выдачи, наименование выдавшего органа или лица), подтверждающих полномочия представителей (в том числе законных представителей) субъектов персональных данных.
5.1.4. В отношении субъектов персональных данных – лиц, желающих заключить или заключивших с Учреждением гражданско-правовые договоры (контракты, соглашения)
в рамках уставной деятельности Учреждения при закупках товаров, работ услуг для нужд Учреждения – в целях выполнения возложенных на Учреждение функций, полномочий
и обязанностей, касающихся соблюдения требований Федерального закона от 05.04.2013
№ 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», налогового законодательства в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия, имя, отчество (при наличии);
- дата рождения (число, месяц, год рождения);
- место рождения;
- пол;
- сведения о гражданстве;
- реквизиты документов, удостоверяющих личность (вид, серия, номер документа, дата его выдачи, наименование и код подразделения выдавшего органа);
- адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона или сведения о других способах связи
(в том числе адрес электронной почты);
- реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
- данные свидетельства о постановке на учет в налоговом органе;
- данные об основном государственном номере индивидуального предпринимателя (для индивидуального предпринимателя);
- сведения о применяемой системе налогообложения;
- банковские реквизиты, данные о номере расчетного счета и банковской карты;
- реквизиты документов (вид, серия, номер документа, дата его выдачи, наименование выдавшего органа или лица), подтверждающих полномочия представителей (в том числе законных представителей) субъектов персональных данных;
5.1.5. В отношении субъектов персональных данных – лиц, желающих заключить или заключивших с Учреждением гражданско-правовые договоры, соглашения при осуществлении Учреждением деятельности, приносящей доход (организация кружков, спортивно-оздоровительных клубов и секций; групп здоровья; проведение спортивных выступлений и соревнований, организация поездок и реализация путевок в детский оздоровительный лагерь; проведение концертов, фестивалей, праздников, семинаров, конференций, мастер-классов) – в целях соблюдения законодательства о защите прав потребителей в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия, имя, отчество;
- дата рождения (число, месяц, год рождения);
- пол;
- реквизиты документов, удостоверяющих личность (вид, серия, номер документа, дата его выдачи, наименование и код подразделения выдавшего органа);
- адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона или сведения о других способах связи, в том числе адрес электронной почты;
- реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
- данные свидетельства о постановке на учет в налоговом органе;
- банковские реквизиты, данные о номере расчетного счета и банковской карты;
- реквизиты документов (вид, серия, номер документа, дата его выдачи, наименование выдавшего органа или лица), подтверждающих полномочия представителей (в том числе законных представителей) субъектов персональных данных;
- сведения о состоянии здоровья (медицинское заключение или медицинская справка, содержащие рекомендации врача по возможным и допустимым физическим нагрузкам и противопоказаниям (при занятиях физической культурой и спортом).
5.1.6. В отношении субъектов персональных данных – детей, подростков, молодежи и их родителей при осуществления видов деятельности, предусмотренных Уставом Учреждения в целях реализации (организации): целевых программ в сфере молодежного досуга и отдыха; организации занятий детей, подростков и молодежи творчеством, физкультурой и спортом; организации работы клубных формирований, коллективов и кружков народного творчества, любительских объединений и студий, клубов по интересам; организации туристского отдыха и путешествий по туристским маршрутам; организации молодежных редакций, студий звукозаписи, видеозаписи; оказания социально-психологической и педагогической помощи детям, подросткам и их родителям; консультативной помощи по правам несовершеннолетних; индивидуальной и массовой работы по профилактике правонарушений, безнадзорности и негативных явлений среди подростков и молодежи в возрасте до 18 лет; выставок, ярмарок, фестивалей, праздников, конкурсов детского творчества, походов, соревнований, путешествий, турниров; проведения оздоровительных компаний для детей и подростков; совместных культурно-досуговых мероприятий для несовершеннолетних и их родителей в форме семейных клубов; программ, направленных на развитие и укрепление семейных и национальных традиций; международного обмена и приема, в т.ч. в рамках детского оздоровительного лагеря; мероприятий, направленных на установление и развитие толерантности в молодежной среде) – в целях участия субъектов персональных данных в программах, мероприятиях, клубных формированиях выставок, ярмарок, фестивалей, праздников, конкурсов детского творчества, походов, соревнований, путешествий, турниров; зачисления в кружки, студии, организации поездок в детский лагерь в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия, имя, отчество (при наличии);
- реквизиты документов, удостоверяющих личность (вид, серия, номер документа, дата его выдачи, наименование и код подразделения выдавшего органа);
- адрес регистрации по месту жительства (месту пребывания) или адрес фактического проживания;
- номер контактного телефона или сведения о других способах связи, в том числе адрес электронной почты (при наличии);
- реквизиты документов (вид, серия, номер документа, дата его выдачи, наименование выдавшего органа или лица), подтверждающих полномочия представителей (в том числе законных представителей) субъектов персональных данных;
- сведения о состоянии здоровья (медицинское заключение или медицинская справка, содержащая рекомендации врача по возможным и допустимым физическим нагрузкам и противопоказаниям (при занятиях физической культурой и спортом).
5.1.7. В отношении субъектов персональных данных – лиц (заявителей), персональные данные которых используются при приеме и обработке обращений граждан – в целях выполнения возложенных на Учреждение функций, полномочий и обязанностей, касающихся соблюдения требований Федерального закона от 02.05.2006 № 59-ФЗ
«О порядке рассмотрения обращений граждан Российской Федерации» в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия (при указании в обращении), имя, отчество (при указании
в обращении);
- адрес проживания (при указании в обращении);
- номер контактного телефона или сведения о других способах связи,
в том числе адрес электронной почты (при указании в обращении);
- иные персональные данные, указанные заявителем в обращении
и необходимые для его рассмотрения.
5.1.8. В отношении субъектов персональных данных – работников Учреждения, включая ранее работавших в Учреждении, членов семьи, родственников работников Учреждения (супруг (супруга), близкий родственник по прямой восходящей или нисходящей линии (отец, мать, дедушка, бабушка, сын, дочь, внук, внучка), полнородный или неполнородный (имеющий общих с должностным лицом Учреждения отца или мать) брат (сестра), лицо, усыновленное должностным лицом заказчика, либо усыновитель работника Учреждения) – в целях соблюдения законодательства о противодействии коррупции, включая предотвращение и урегулирование конфликта интересов при осуществлении деятельности в рамках уставной деятельности Учреждения, в т.ч. при закупках товаров, работ услуг для нужд Учреждения в соответствии с требованиями Федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», а также при осуществлении Учреждением деятельности, приносящей доход в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия, имя, отчество (при наличии) (в том числе предыдущие фамилии, имена, отчества (при наличии) (в случае их изменения);
- дата рождения (число, месяц, год рождения);
- реквизиты документов, удостоверяющих личность (вид, серия, номер документа, дата его выдачи, наименование и код подразделения выдавшего органа);
- адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона или сведения о других способах связи, в том числе адрес электронной почты (при наличии);
- данные свидетельства о постановке на учет в налоговом органе;
- сведения о составе семьи, ближайших родственниках и/или законных представителях;
- данные документов о регистрации актов гражданского состояния (свидетельства о рождении, о заключении брака и т.п.);
- реквизиты документов (вид, серия, номер документа, дата его выдачи, наименование выдавшего органа или лица), подтверждающих полномочия представителей (в том числе законных представителей) субъектов персональных данных.
5.1.9. В отношении субъектов персональных данных – лиц, посещающих территорию и объекты Учреждения; лиц, направленных в Учреждение в командировку или на стажировку (практику), лиц являющихся работниками организаций, осуществляющих поставку товаров, выполняющих работы (оказывающих услуги) на объектах Учреждения – в целях обеспечения внутриобъектового и пропускного режимов на территории объектов Учреждения для обеспечения безопасности работников, посетителей Учреждения, исключения возможности бесконтрольного входа (выхода) лиц, въезда (выезда) транспортных средств, вноса (выноса), ввоза (вывоза) имущества на объекты (с объектов) Учреждения в Учреждении осуществляется обработка следующих категорий персональных данных:
- фамилия, имя, отчество (при наличии);
- реквизиты документов, удостоверяющих личность (вид, серия, номер документа, дата его выдачи, наименование и код подразделения выдавшего органа);
- адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- номер контактного телефона или сведения о других способах связи,
в том числе адрес электронной почты (при наличии);
- сведения, указанные в личных медицинских книжках по результатам предварительных (при поступлении на работу) и периодических медицинских осмотров (для работников, выполняющих работы (оказывающих услуги) на объектах Учреждения.
5.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается,
за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.
5.3. Обработка персональных данных о судимости и сведения, составляющие врачебную тайну, может осуществляться в случаях и в порядке, которые определяются
в соответствии с федеральными законами.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных работниками Учреждения, имеющими доступ к персональным данным и осуществляющими обработку персональных данных, осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ, иными федеральными законами, а также подзаконными нормативными правовыми актами, Уставом и локальными правовыми актами Учреждения.
6.2. Для всех целей обработки персональных данных, указанных в п. 3.1 Политики обработка персональных данных работниками Учреждения, имеющими доступ
к персональным данным и осуществляющими обработку персональных данных, может осуществляться путем совершения действий, в соответствии с пунктом 3 статьи 3 Федерального закона № 152-ФЗ (сбор, анализ, обобщение, хранение, изменение, дополнение, передачу, уничтожение персональных данных, включая запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных) с использованием следующих способов:
- автоматизированной обработки персональных данных;
- обработки персональных данных без использования средств автоматизации;
- смешанной обработки.
6.3. Обработка персональных данных работниками Учреждения, имеющими доступ к персональным данным и/или осуществляющими обработку персональных данных, осуществляется в течение срока, который не может быть дольше, чем этого требуют цели обработки персональных данных, если иной срок обработки (в том числе хранения) персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных или согласием субъект персональных данных.
6.4. Обработка персональных данных работниками Учреждения, имеющими доступ к персональным данным и/или осуществляющими обработку персональных данных, осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в сфере обработки персональных данных.
6.5. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
6.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия
на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных
в Федеральном законе № 152-ФЗ.
6.7. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенность или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных,
а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Оригиналы подписанных субъектами персональных данных согласий не выдаются (не возвращаются).
6.8. В случае недееспособности субъекта персональных данных согласие
на обработку его персональных данных дает законный представитель субъекта персональных данных.
6.9. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
6.10. Если предоставление персональных данных является обязательным
в соответствии с федеральным законом, работники Учреждения, осуществляющие обработку персональных данных, обязаны разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
6.11. Работники Учреждения, имеющие доступ к персональным данным
и осуществляющие обработку персональных данных, вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
6.12. Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона № 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящим пунктом, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении оператора
о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ.
Лицо, осуществляющее обработку персональных данных по поручению оператора,
не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Учреждение поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, несет ответственность перед Учреждением. В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных
по поручению оператора.
6.13. Работники Учреждения и иные лица, которым стали известны персональные данные, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данные, если иное не предусмотрено федеральным законом (конфиденциальность персональных данных).

7. ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. В Учреждении принимаются меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
7.1.1. Назначение Учреждением лица, ответственного за организацию обработки персональных данных;
7.1.2. Издание Учреждением документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории
и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы
и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.
7.1.3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ;
7.1.4. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Учреждения в отношении обработки персональных данных, локальным актам Учреждения;
7.1.5. Оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
7.1.6. Ознакомление работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Учреждения в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
7.1.7. Обеспечение неограниченного доступа к документу, определяющему политику Учреждения в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
7.1.8. Определение угроз безопасности персональных данных при их обработке
в информационных системах персональных данных (при использовании указанных систем);
7.1.9. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных (при использовании указанных систем);
7.1.10. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
7.1.11. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7.1.12. Учетом машинных носителей персональных данных;
7.1.13. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7.1.14. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.1.15. Установлением правил доступа к персональным данным, обрабатываемым
в информационной системе персональных данных, а также обеспечением регистрации
и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
7.1.16. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7.1.17. Иные меры по обеспечению безопасности персональных данных.
7.2. Вывод на печать документов, содержащих персональные данные, с помощью средств автоматизации, входящих или не входящих в состав информационных систем персональных данных (при использовании таких систем), допускается в целях обработки
в связи с исполнением служебных (трудовых) обязанностей, в том числе для передачи
их печатных копий субъектам персональных данных, персональные данные которых они содержат, либо должностным лицам, допущенных к обработке персональных данных.
7.3. Обработка персональных данных без использования средств автоматизации осуществляется с учетом следующих особенностей:
7.3.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);
7.3.2. При фиксации персональных данных на материальных носителях
не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель;
7.3.3. Работники Учреждения, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных,обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Учреждения;
7.3.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя
с уточненными персональными данными.
7.4. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество (при наличии), год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
7.5. Обработка персональных данных, разрешенных субъектом персональных данных к распространению, осуществляется с особенностями, установленными Федеральным законом № 152-ФЗ.
7.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. При этом субъекту персональных данных должна быть обеспечена возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии
на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.7. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящим пунктом, не допускается.
Учреждение обязано в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию
об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
7.8. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Учреждением. Действие согласия субъекта персональных данных
на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления в Учреждение такого требования.
7.9. Учреждение обязано в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения
и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. Указанная в настоящем пункте информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных. Порядок передачи информации в соответствии
с настоящим пунктом устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

8. ОТВЕТЫ НА ЗАПРОСЫ И ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПРЕДСТАВИТЕЛЕЙ, УПОЛНОМОЧЕННЫХ ОРГАНОВ. УТОЧНЕНИЕ, ИСПРАВЛЕНИЕ, БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

8.1. Субъект персональных данных, его представители, уполномоченные органы имеют право на получение сведений, касающихся обработки его персональных данных,
за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.1.1. Субъект персональных данных имеет право на получение информации, в том числе содержащей:
- подтверждение факта обработки персональных данных работниками Учреждения;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах
(за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора
с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных, если обработка поручена или будет поручена такому лицу на основании заключенного с Учреждением договора;
- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;
- иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
8.1.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществляющими задержание субъекта персональных данных по подозрению
в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения,за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии
с законодательством о противодействии легализации (отмыванию) доходов, полученных преступных путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса
от актов незаконного вмешательства.
8.1.3. Сведения, указанные в пункте 8.1.1 настоящей Политики, предоставляются субъекту персональных данных в доступной форме, в них не могут содержаться персональные данные, относящиеся к другим субъектам персональных данных,
за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.1.4. Сведения, указанные в пункте 8.1.1 настоящей Политики, предоставляются субъекту персональных данных или его представителю Учреждением в течение десяти рабочих дней с момента обращения либо получения Учреждением запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Учреждением в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях
с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Учреждение предоставляет сведения, указанные в пункте 8.1.1. Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
8.1.5. Если персональные данные получены не от субъекта персональных данных, Учреждение, за исключением случаев, предусмотренных в пункте 8.1.6 настоящей Политики, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
8.1.5.1. наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
8.1.5.2. цель обработки персональных данных и ее правовое основание;
8.1.5.3. перечень персональных данных;
8.1.5.4. предполагаемые пользователи персональных данных;
8.1.5.5. установленные Федеральным законом № 152-ФЗ права субъекта персональных данных;
8.1.5.6. источник получения персональных данных.
8.1.6. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные в пункте 8.1.5 настоящей Политики, в случаях, если:
8.1.6.1. субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
8.1.6.2. персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
8.1.6.3. обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов
и условий, предусмотренных статьей 10.1 Федерального закона № 152-ФЗ;
8.1.6.4. Учреждение осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права
и законные интересы субъекта персональных данных;
8.1.6.5. предоставление субъекту персональных данных сведений, предусмотренных в пункте 8.1.5 настоящей Политики, нарушает права и законные интересы третьих лиц.
8.1.7. Работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, сообщают субъекту персональных данных или его представителю в порядке, предусмотренном Федеральным законом
№ 152-ФЗ, информацию о наличии персональных данных, относящихся
к соответствующему субъекту персональных данных, а также обеспечивают возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в сроки предусмотренные Федеральным законом № 152-ФЗ.
8.1.8. В случае, если сведения, указанные в пункте 8.1.1 Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения сведений, указанных в пункте 8.1.1 Политики, и ознакомления с такими персональными данными.
8.1.9. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 8.1.1Политики, а также в целях ознакомления с обрабатываемыми персональными данными
до истечения срока, указанного в пункте 8.1.8 Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.1.4, должен содержать обоснование направления повторного запроса.
8.1.10. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 8.1.8
и 8.1.9 Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на работниках Учреждения, имеющих доступ к персональным данным и осуществляющих обработку персональных данных.
8.1.11. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, направляют в адрес субъекта персональных данных или его представителя в письменной форме мотивированный ответ, содержащий ссылку
на основание для такого отказа в соответствии с пунктом 8.1.2 настоящей Политики, в срок, не превышающий десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.1.11. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом,действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.1.12. В случае подтверждения факта неточности персональных данных
на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов работники Учреждения, имеющие доступ
к персональным данным и/или осуществляющие обработку персональных данных, обязаны уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.1.13. В случае выявления неправомерной обработки персональных данных, осуществляемой работниками Учреждения, имеющими доступ к персональным данным, или лицом, действующим по поручению Учреждения, работники Учреждения, имеющие доступ к персональным данным и осуществляющие обработку персональных данных, в срок,
не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
8.1.14. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

9. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В Учреждении обеспечивается раздельное хранение персональных данных (материальных носителей). Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных.
9.2. При осуществлении хранения персональных данных в соответствии с частью 5 статьи 17 Федерального закона № 152-ФЗ в Учреждении используются базы данных, находящиеся на территории Российской Федерации.
9.3. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных
не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональным данных.
9.4. Сроки хранения персональных данных определяются/обусловлены сроками хранения, установленными номенклатурой для дел, содержащих соответствующие персональные данные. Персональные данные полученные Учреждением в целях выполнения возложенных на Учреждение функций, полномочий и обязанностей, в том числе касающихся трудовых отношений и иных непосредственно связанных с ними отношений, обеспечения воинского учета, бухгалтерского учета и налогообложения, заключения
и исполнения договоров и соглашений, стороной в которых является Учреждение, хранятся в течение сроков, предусмотренных приказом Росархива от 20.12.2019 № 236
«Об утверждении Перечня типовых управленческих архивных документов, образующихся
в процессе деятельности государственных органов, органов местного самоуправления
и организаций, с указанием сроков их хранения», если иной срок хранения не предусмотрен иным применимым законодательством Российской Федерации.
 
10. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПPИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
 
10.1. Обрабатываемые персональные данные подлежат уничтожению:
10.1.1. По достижении целей обработки;
10.1.2. В случае утраты необходимости в достижении этих целей, если иное
не предусмотрено федеральным законом;
10.1.3. Выявлены факты неправомерной обработки персональных данных (в том числе при обращении субъекта персональных данных или его представителя), когда обеспечить правомерность их использования не представляется возможным;
10.1.4. В случае отзыва субъектом персональных данных согласия на обработку персональных данных;
10.1.5. В случае истечения предусмотренного согласием субъекта персональных данных срок обработки персональных данных;
10.1.6 В случае отсутствия основания осуществлять архивное хранение материальных носителей, содержащих такие персональные данные.
10.2. Персональные данные не подлежат уничтожению при достижении целей
их обработки или в случае отзыва субъектом персональных данных согласия на
их обработку, если:
10.2.1. Иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
10.2.2. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными федеральными законами;
10.2.3. Иное предусмотрено соглашением между оператором и субъектом персональных данных.
10.3. В случае достижения цели обработки персональных данных работники Учреждения, имеющие доступ к персональным данным и осуществляющие обработку персональных данных, обязаны прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
10.4. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
10.4.1. В случае обращения субъекта персональных данных в Учреждение
с требованием о прекращении обработки персональных данных Учреждение обязано в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных),
за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Учреждением в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10.5. В случае отсутствия возможности уничтожения персональных данных
в установленные настоящей Политикой сроки, работники Учреждения, имеющие доступ
к персональным данным и осуществляющие обработку персональных данных, осуществляют блокирование таких персональных данных или обеспечивают их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивают уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10.6. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению за исключением случаев, предусмотренных пунктом 10.2.2 настоящей Политики, а также федеральными законами, в частности, Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
10.7. Для уничтожения материальных носителей персональных данных или передачи их на архивное хранение назначается экспертная комиссия, состав которой утверждается приказом директора Учреждения.
10.8. По итогам заседания экспертной комиссии составляется протокол и акт
о выделении к уничтожению документов, опись уничтожаемых дел, проверяется
их комплектность, акт подписывается председателем и членами экспертной комиссии
и утверждается директором Учреждения.
10.9. Уничтожение персональных данных на электронных носителях производится
под контролем лица, ответственного за организацию обработки и защиты персональных данных, путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления
с электронных носителей методами и средствами гарантированного удаления остаточной информации.
10.10. Материальные носители, подлежащие архивному хранению, передаются
по акту в структурное подразделение Учреждения, на которое возложено ведение архива,
или привлекаемую для этих целей на основании договора стороннюю организацию.
10.11. Уничтожение материальных носителей персональных данных должно обеспечивать их полное физическое уничтожение, а уничтожение персональных данных, записанных на машинных носителях информации, – невозможность восстановления персональных данных.
10.12. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
10.13. Машинные носители информации, содержащие персональные данные
и пришедшие в негодность, отслужившие установленный срок или утратившие практическое значение, уничтожаются Учреждением одним из следующих способов: разрезание, сжигание, механическое уничтожение, сдача организации по утилизации вторичного сырья. В последнем случае перед сдачей машинных носителей информации
на утилизацию на всех носителях производится стирание персональных данных
с использованием программ (устройств) гарантированного уничтожения информации.
10.14. Уничтожение носителей информации на бумажной основе производится
с применением бумагорезательных машин (шредеров).
10.15. В случае уничтожения материальных носителей специализированным предприятием по утилизации вторичного сырья в договоре с таким предприятием должна предусматриваться обязанность предприятия – утилизатора обеспечить конфиденциальность персональных данных, находящихся на уничтожаемых (утилизируемых) носителях. При отсутствии такого обязательства в договоре, уничтожение должно осуществляться только под личным наблюдением лица, ответственного
за организацию обработки и защиты персональных данных Учреждения.
10.16. По результатам уничтожения оформляется акт об уничтожении персональных данных.
10.17. Материальные носители персональных данных, находящиеся на архивном хранении, персональные данные, содержащиеся в электронных архивах, архивные копии баз данных, содержащих уничтоженные персональные данные, уничтожаются
в соответствии с нормами законодательства об архивном деле в Российской Федерации.
10.18. Учреждение обеспечивает хранение носителей персональных данных в течение срока, предусмотренного договором с субъектом персональных данных, приказом Росархива от 20.12.2019 № 236.
10.19. Учреждение ежегодно, в рамках осуществления мероприятий по контролю состояния защиты персональных данных, организует проверку соблюдения сроков хранения носителей персональных данных.
10.20 Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности, путем фиксации
их на отдельных материальных носителях персональных данных, таких как формы унифицированного учета работников и тому подобное.
10.21. При фиксации персональных данных на материальных носителях
не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы между собой.
10.22. При обработке персональных данных, предназначенных для различных целей, для каждой такой группы персональных данных используется отдельный материальный носитель.
10.23. Документы, содержащие персональные данные (дела с документами, содержащими персональные данные работников, трудовые книжки, картотеки, учетные журналы, книги учёта, анкеты и прочее), должны находиться в хранилищах, обеспечивающих защиту от несанкционированного доступа.
10.24. Местом хранения персональных данных на бумажных носителях являются помещение отдела кадрового и документационного обеспечения Учреждения и помещение для хранения документов (законченных дел) с последующей передачей их на архивное хранение в соответствии с приказом Росархива от 20.12.2019 № 236. На все указанные места хранения распространяются следующие правила:
персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу (в сейфе) и помещении;
ключи от запираемых шкафов, помещений выдаются только лицам, ответственным
за безопасность персональных данных Учреждения.
10.25. При использовании типовых форм документов, используемых
(или разработанных) Учреждением, характер информации в которых предполагает или допускает включение в них персональные данные (далее – типовая форма), например: лист ознакомления с локальным нормативным актом Учреждения, журналы: инструктажей, учета обращений субъектов персональных данных, формы анкет соискателей вакантных должностей и прочие, должны соблюдаться следующие условия:
типовая форма или связанные с ней документы должны содержать сведения о целях обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Учреждения, фамилию, имя, отчество и адрес субъекта персональных данных (если адрес необходим для достижения целей обработки персональных данных без использования средств автоматизации), источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Учреждением способов обработки персональных данных;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных (например, в листах ознакомления работников с документами не должны содержаться иные сведения, кроме фамилии, имени, отчества, должности работника и наименования структурного подразделения – при необходимости);
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

11. ВНУТРЕННИЙ КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ И ЛОКАЛЬНЫХ AKTOB В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Организация внутреннего контроля и (или) аудита за соблюдением работниками Учреждения законодательства Российской Федерации и локальных правовых актов Учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в Учреждении, в соответствии с правилами, установленными локальными правовыми актами Учреждения.
11.3. Руководители структурных подразделений Учреждения обязаны оперативно предоставлять необходимые материалы и сведения по запросам лица, ответственного
за организацию обработки персональных данных, а также устранять нарушения требований законодательства при работе с персональными данными, в случае выявления
их в структурном подразделении Учреждения.
11.4. Лицо, ответственное за организацию обработки персональных данных
в Учреждении, обязано:
осуществлять внутренний контроль за соблюдением Учреждением и его работниками законодательства о персональных данных, в том числе требований к защите персональных данных;
доводить до сведения работников Учреждения положения законодательства о персональных данных, локальных актов Учреждения по вопросам обработки персональных данных, требования к защите персональных данных;
контролировать и организовывать прием и обработку обращений, запросов субъектов персональных данных или их представителей, запросов структурными подразделениями Учреждения.
11.5. Доступ в помещения Учреждения, где хранятся и обрабатываются персональные данные, осуществляется в соответствии с локальным нормативным актом Учреждения, исключающим несанкционированный доступ к персональным данным работников Учреждения и обеспечивающим безопасность персональных данных работников Учреждения от уничтожения, изменения, блокирования, копирования, распространения,
а также от неправомерных действий в отношении персональных данных.
11.6. Организация хранения и использования материальных носителей персональных данных возлагается на лицо, ответственное за организацию обработки персональных данных в Учреждении. Материальные и машинные носители персональных данных подлежат обязательному по экземплярному учету.
11.7. Носители персональных данных на бумажной основе учитываются по форме, установленной для регистрации документов Учреждения, а также по формам, установленным для конкретных видов носителей персональных данных (трудовых книжек, трудовых договоров Учреждения и так далее).
11.8. Запись и хранение файлов, содержащих персональные данные,
в том числе сканов документов с персональным данным, допускается только в сетевых хранилищах (на файловых серверах, на сетевых дисках и в сетевых каталогах/папках), специально предназначенных для этих целей.
11.9. Запись и хранение персональных данных на иных жестких и сетевых дисках, машинных носителях, не учтенных в указанном выше порядке, запрещены.
11.10. Персональные данные субъектов, обрабатываемые структурными подразделениями Учреждения, передаются от одного структурного подразделения другому через электронный документооборот с соблюдением следующих правил:
данные передаются в минимально возможном объеме, необходимом для выполнения соответствующим структурным подразделением своих функций;
передача из одного структурного подразделения в другое персональных данных, излишних по отношению к целям обработки в данном подразделении, не допускается;
при достижении целей обработки персональных данных, полученных от другого структурного подразделения, их носители должны быть возвращены в передавшее их ранее структурное подразделение или уничтожены.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Учреждение в случаях, установленных Федеральным законом № 152-ФЗ обеспечивает неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите персональных данных. Учреждение в случае сбора персональных данных с использованием информационно-телекоммуникационных сетей, опубликовывает в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Учреждению сайта в информационно-телекоммуникационной сети «Интернет» (при наличии сайта), настоящую Политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечивает возможность доступа к указанному документу
с использованием средств соответствующей информационно-телекоммуникационной сети.
12.2. Локальные правовые акты Учреждения, регулирующие отношения в сфере обработки персональных данных и изданные до утверждения настоящей Политики, подлежат применению в части непротиворечащей положениям настоящей Политики.

12.3. Работники Учреждения, имеющие доступ к персональным данным и/или осуществляющих обработку персональных данных, несут ответственность за невыполнение норм, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством Российской Федерации и локальными правовыми актами Учреждения.