г. Москва                                                                                                                                                          «07» июня 2021 г.

ПОЛИТИКА

обработки и защиты персональных данных работников, пациентов и их законных представителей, волонтеров и иных лиц


 Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
·    Конституция Российской Федерации;
·    Гражданский кодекс Российской Федерации;
·    Трудовой кодекс Российской Федерации;
·    Налоговый кодекс Российской Федерации;
·    Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью";
·    Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
·    иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
 Правовым основанием обработки персональных данных также являются:
·    устав АНО «Центр «НеМаленькие люди»;
·    договоры, заключаемые между Оператором и субъектами персональных данных;
·    согласие субъектов персональных данных на обработку их персональных данных.

1. Общие положения

1.1. Настоящее Положение является локальным нормативным актом АНО «Центр «НеМаленькие люди» (далее - Оператор), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Положение действует в отношении всех персональных данных, которые обрабатывает Оператор.

1.3. Положение распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора. Настоящее Положение и изменения к нему утверждаются руководителем Работодателя и вводятся приказом. Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.

1.5. Основные понятия, используемые в Положении: персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор персональных данных (оператор) - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования таких средств.Обработка персональных данных включает в себя в том числе:
 • сбор;
 • запись;
• систематизацию;
• накопление;
• хранение;
•уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (предоставление, доступ);
• обезличивание;
• блокирование;
 • удаление;
• уничтожение;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.6. Основные права и обязанности Оператора:

1.6.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных и иных нормативных правовых актов;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.

1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) выдвигать условие предварительного согласия при обработке персональных данных в целях
продвижения на рынке товаров, работ и услуг;

1.8. Контроль за исполнением требований настоящего Положения осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Категории субъектов персональных данных


2.1. К субъектам, персональные данные которых обрабатываются Оператором в соответствии с Положением, относятся:        
Работники      
Соискатели    
Родственники работников     
Уволенные работники
Контрагенты 
Представители контрагентов
Клиенты                      
Выгодоприобретатели по договорам
Посетители сайта       
Учащиеся       
Студенты       
Законные представители
Бывшие работники оператора; кандидаты;пациенты; представители пациентов; врачи.
Граждане, обратившиеся к Оператору по любым средствам связи, либо по почте с запросом об информационной, консультативной и иной поддержкой по вопросам уставной деятельности Оператора; иные лица, выразившие поддержку целям деятельности АНО(Оператора), а также лица, оказывающие поддержку деятельности АНО (Оператора), включая добровольцев и волонтеров.           
Иные категории субъектов персональных данных, персональные данные которых обрабатываются.

3. Цели обработки персональных данных, категории (перечни)

обрабатываемых персональных данных


3.1. Согласно Положению персональные данные обрабатываются с целью применения и исполнения законодательства, в том числе:
При содействии в трудоустройстве;
Ведении кадрового и бухгалтерского учета;
Обеспечение соблюдения налогового законодательства РФ
Содействии работникам в получении образования и продвижении по службе;
Оформлении награждений и поощрений;
Предоставлении со стороны Оператора установленных законодательством условий труда, гарантий и компенсаций;
Заполнении и передаче в уполномоченные органы требуемых форм отчетности;
Обеспечении личной безопасности работников и сохранности имущества;
Осуществлении контроля за количеством и качеством выполняемой работы;
Осуществление научной, литературной или иной творческой деятельности;
Проведение исследовательских работ;
Подготовка, заключение и исполнение гражданско-правового договора;
Обеспечение соблюдения законодательства о государственной социальной помощи РФ;
Продвижение товаров, работ, услуг на рынке.

3.2. В Обществе обрабатываются следующие персональные данные:
В отношении работников: фамилия, имя, отчество; дата рождения; семейное положение; адрес и контактная информация; члены семьи; информация о владении языками; информация о банковском счете и налоговом статусе; ИНН; паспортные данные; номер страхового полиса; информация об образовании и квалификации; трудовой стаж; должность и функциональная роль (трудовая функция); гражданство; информация о заработной плате и компенсациях; адрес электронной почты; содержание, дата и время переписки по рабочей электронной почте, если такая информация может считаться персональными данными в соответствии с действующим законодательством; информация, полученная в результате внутренних проверок, расследований, аудиторских проверок; должность на предыдущих местах работы; информация о ежегодном оплачиваемом отпуске; информация о выходе на пенсию и иная информация, связанная с пенсионным страхованием; информация касательно эффективности работы и привлечения к дисциплинарной ответственности; информация об участии в обучении и развитии и результатах; идентифицирующая информация, используемая в электронных системах (например, логин, пароль, проверочный вопрос/ответ, адрес электронной почты, cookies, адрес сетевого протокола IP, файл протокола); информация о медицинском страховании, о планировании в сфере защиты здоровья, иная информации медицинского характера и/или сведения о беременности, временной нетрудоспособности и/или инвалидности, связанные с возможностью работника исполнять его/ее должностные обязанности, а также необходимые для обеспечения работника добровольным медицинским страхованием и страхованием жизни.

В отношении волонтеров: фамилия, имя, отчество; дата рождения; адрес и контактная информация; информация о владении языками; паспортные данные; информация об образовании и квалификации; должность и функциональная роль; гражданство; адрес электронной почты; содержание, дата и время переписки по рабочей электронной почте, если такая информация может считаться персональными данными в соответствии с действующим законодательством;

В отношении бывших работников: фамилия, имя, отчество; дата рождения; гражданство; адрес и контактная информация; паспортные данные; номер страхового полиса; иная информация, которая хранится на основании законодательства российской федерации; содержание, дата и время переписки по рабочей электронной почте, если такая информация может считаться персональными данными в соответствии с действующим законодательством; информация, полученная в результате внутренних проверок, расследований, аудиторских проверок; идентифицирующая информация, используемая в электронных системах (например, логин, пароль, проверочный вопрос/ответ, адрес электронной почты, cookies, адрес сетевого протокола IP, файл протокола).

В отношении кандидатов: фамилия, имя, отчество; дата рождения; семейное положение; адрес и контактная информация; паспортные данные; информация об образовании и квалификации; гражданство; рекомендации от предыдущих работодателей; должности у предыдущих работодателей.

 В отношении контрагентов, их работников и представителей: фамилия, имя, отчество; контактная информация; информация, необходимая для заключения и исполнения договора с контрагентом, являющимся физическим лицом.

В отношении законных представителей пациентов: ФИО, дата рождения, телефон, адрес электронной почты, гражданство, место регистрации, место фактического проживания, паспортные данные.

 В отношении пациентов: фамилия, имя, отчество; дата и место рождения, город проживания, гражданство, возраст, данные о поставленном диагнозе, наименование диагноза, сведения о дате постановке диагноза, наименование учреждения, поставившего диагноз, сведения о проводимой диагностике, наличие анализа ДНК и персональные данные в составе сведений, содержащихся в ДНК-анализе, сведения о проводившихся обследованиях, сведения о наличии у пациента инвалидности, срок на который присвоен статус инвалида, сведения о клинических проявлениях заболевания, сведения о проводимой терапии (принимаемые лекарственные препараты, проводимые процедуры, реабилитация, особенности ухода), сведения об участии в клинических исследованиях, сведения о социальной поддержке.

 В отношении врачей: фамилия, имя, отчество; паспортные данные; ИНН; банковские данные для расчетов; должность; место работы; квалификация; фотография.

3.3. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. Порядок и условия обработки персональных данных


4.1. До начала обработки персональных данных Общество обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

4.2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете".

4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.

4.4. Обработка персональных данных в Обществе выполняется следующими способами:
неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

4.5. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.

4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.

4.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.

4.6. Общество не осуществляет трансграничную передачу персональных данных.

4.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

4.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:
получения оригиналов документов либо их копий;
копирования оригиналов документов;
внесения сведений в учетные формы на бумажных и электронных носителях;
создания документов, содержащих персональные данные, на бумажных и электронных носителях;
внесения персональных данных в информационные системы персональных данных.

4.7.2. В Обществе используются следующие информационные системы:
корпоративная электронная почта;
система электронного документооборота;
система поддержки рабочего места пользователя;
система нормативно-справочной информации;
система управления персоналом;
система контроля за удаленным доступом;
информационный портал.

4.8. Передача (предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.

5. Сроки обработки и хранения персональных данных


5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
при достижении целей их обработки (за некоторыми исключениями);
по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Порядок блокирования и уничтожения персональных данных


6.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

6.3. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.4. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

6.5. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.6. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.

6.7. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.

6.7.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

6.7.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.7.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.

6.7.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

6.7.5. Уничтожение персональных данных, не указанных в п. 6.8.3 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом генерального директора.

7. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений

законодательства, устранение последствий таких нарушений


7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

7.1.1. Запрещено раскрывать персональные данные субъектов персональных данных по телефону.

7.2. С целью защиты персональных данных в Обществе приказами генерального директора назначаются (утверждаются):
работник, ответственный за организацию обработки персональных данных;
перечень должностей, при замещении которых обрабатываются персональные данные;
перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
порядок доступа в помещения, в которых ведется обработка персональных данных;
порядок передачи персональных данных в пределах Общества;
форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
порядок защиты персональных данных при их обработке в информационных системах персональных данных;
порядок проведения внутренних расследований, проверок;
иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.

7.5. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

7.6. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.