Политика конфиденциальности

ПОЛОЖЕНИЕ о политике в области обработки и защиты персональных данных

Общие положения

Настоящее Положение о политике в области обработки и защиты персональных данных(далее – Положение, настоящее Положение, Политика конфиденциальности) разработано Автономной некоммерческой организацией «Центр поддержки экспорта Брянской области» (далее АНО «ЦПЭБО», далее также – Оператор) и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в целях обеспечения реализации требований законодательства в области обработки и защиты персональных данных.

Настоящее Положение определяет политику Оператора в отношении процесса обработки и защиты персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.

Действие настоящего Положения распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

Во исполнение требований ч. 2 ст. 18.1Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора: https://www.32export.ru/

Основные понятия

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Оператор персональных данных (оператор) - Автономная некоммерческая организация «Центр поддержки экспорта Брянской области»  (АНО «ЦПЭБО»)самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Информация об Операторе

Наименование: Автономная некоммерческая организация «Центр поддержки экспорта Брянской области» 

ИНН/КПП 3257079262/325701001

Юридический и фактический адрес: 241023,г. Брянск, ул. Бежицкая, 54.

тел. (4832) 58-92-78;https://www.32export.ru/; e-mail:centr-eksporta@mybiz32.ru

Ответственным за общую организацию обработки и обеспечение безопасности персональных данных в АНО «ЦПЭБО» является директор АНО «ЦПЭБО» Баранов Павел Александрович, тел. 8 (4832) 589278.

Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 03.11.2006 №174-ФЗ «Об автономных учреждениях»;
• Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 24.07.2007 №209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации»;
• Федеральный закон от 18.07.2011 №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
• Правовым основанием обработки персональных данных также являются:
• Настоящее Положение и разработанные в его исполнение локальные акты Оператора;
• устав АНО «ЦПЭБО»;
• Положение о закупках товаров, работ, услуг АНО «ЦПЭБО»;
• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных.

Цели обработки персональных данных

• принятие решений о приеме на работу, заключения трудового договора, взаимодействия с работниками Оператора в процессе реализации трудовых правоотношений;в том числе: начисление и перечисление заработной платы, ведение табелей учета рабочего времени, начисление и перечисление отчислений с заработной платы, формирования отчетности по отчислениям с заработной платы в ИФНС РФ, Пенсионный фонд РФ, Фонд социального страхования; формирование и отправка отчетности в ИФНС РФ и Пенсионный фонд РФ; перечисление заработной платы сотрудников на банковские карты; ведение кадрового учета.
• оценка заявок участников процедур закупки товаров, работ, услуг Оператора;
• реализация функций Оператора в процессе гражданско-правовых правоотношений, складывающихся в процессе хозяйственной деятельности Оператора при заключении и исполнении договоров, соглашений с контрагентами;
• реализация функций Оператора в процессе реализации уставных функций по организации и предоставлению услуг субъектам малого и среднего предпринимательства Брянской области, мер поддержки, предусмотренных федеральным законом от 24.07.2007 №209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации».

Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и настоящим Положением.

Оператор вправе обрабатывать персональные данные только с согласия субъектов персональных данных на использование персональных данных (Образцы согласия на обработку персональных данных прилагаются).

Согласие на обработку персональных данных не требуется в следующих случаях:

• персональные данные являются общедоступными;
• обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Оператора;
• по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом;
• обработка персональных данных в целях исполнения договора, заключённого с Оператором;
• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.

6.2.Перечень действий оператора с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление), обезличивание, блокирование, удаление, уничтожение.

6.3 Персональные данные обрабатываются с использованием и без использования средств автоматизации.

6.4. Срок обработки персональных данных: с момента образования Оператора до прекращения его деятельности (ликвидации, реорганизации)

6.5. Оператор не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

6.6. Для достижения целей обработки персональных данных, в интересах и с согласия субъектов персональных данных, Оператор в ходе осуществления своей деятельности предоставляет персональные данные следующим организациям:

• Федеральной налоговой службе;
• Пенсионному фонду России;
• Контролирующим органам государственной власти, правоохранительным органам;органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации;
• Департаменту экономического развития Брянской области;
• АО «РЭЦ».

6.7. Оператор и его работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.8. Передача персональных данных осуществляется с соблюдением следующих требований:

• запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью клиента, а также в других случаях, предусмотренных законами;
• не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
• предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
• передавать персональные данные клиента его представителям в порядке, установленном Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

6.9. Право доступа к персональным данным имеют:

• руководитель Оператора;
• руководители и работники структурных подразделений, бухгалтерии Оператора к данным клиентови контрагентов Оператора согласно направлению деятельности подразделения;
• работники, осуществляющие техническое обеспечение деятельности Оператора.

Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с разрешения руководителя Оператора.

6.10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

Обеспечение безопасности персональных данных обеспечивается следующими способами:

• путем назначения ответственных лиц за организацию обработки персональных данных каждой категории. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются Порядком автоматической и неавтоматической обработки персональных данных в АНО «ЦПЭБО»;
• осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 №152-ФЗ «О персональных данных» и иным нормативным правовым актам и локальным актам Оператора;
• хранением персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных в АНО «ЦПЭБО»;
• хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Оператора, расположенного в обособленном, запираемом и опечатываемом помещении.
• ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе, с требованиями по защите персональных данных, локальными актами Оператора в отношении обработки персональных данных, обучением работников;
• определением угроз безопасности персональным данным при их обработке в информационных системах персональных данных;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных
• учетом машинных носителей персональных данных, в случае их использования;
• - выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
• - восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, защитой от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации.

Категории обрабатываемых Оператором персональных данных, источники получения, объем обрабатываемых персональных данных

Оператором обрабатываются следующие категории персональных данных:

- персональные данные работников (бывших работников) оператора, родственников работников. Источники получения: субъекты персональных данных – работникиАНО «ЦПЭБО»;

- персональные данные претендентов на замещение вакантных должностей в АНО «ЦПЭБО»; Источники получения: субъекты персональных данных - граждане РФ, претендующие на замещение вакантных должностей в АНО «ЦПЭБО»;

- персональные данные участников (их представителей) процедур закупок товаров, работ, услуг Оператора. Источники получения: участники закупок (их представители), общедоступные данные, в том числе, содержащиеся в ЕГРЮЛ, ЕГРИП, Единый реестр субъектов малого и среднего предпринимательства;

- персональные данные контрагентов (их представителей) по договорам и соглашениям АНО «ЦПЭБО»; Источники получения: контрагенты (их представители), налоговые органы, общедоступные данные, в том числе, содержащиеся в ЕГРЮЛ, ЕГРИП, Единый реестр субъектов малого и среднего предпринимательства;

- персональные данные получателей услуг АНО «ЦПЭБО» (субъекты малого и среднего предпринимательства: представители юридических лиц, индивидуальные предприниматели). Источники получения: получатели услуг АНО «ЦПЭБО», налоговые органы, общедоступные данные, в том числе, содержащиеся в ЕГРЮЛ, ЕГРИП, Единый реестр субъектов малого и среднего предпринимательства.

Перечень обрабатываемых персональных данных: ФИО, ИНН, СНИЛС, место проживания и регистрации, дата, месяц и год рождения, место рождения, пол, семейное положение, состав семьи, социальное и имущественное положение, образование, специальность, квалификация, профессия, должность, стаж, сведения о доходах, данные документа, удостоверяющего личность и образование, сведения о воинской обязанности и военной службе.

Оператор не осуществляет обработку биометрических персональных данных (Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) и специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

• Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;
• Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту расположения Оператора в рабочее время Оператора.Доступ к персональным данным, включает право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
• Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами;
• В случае представления интересов субъекта персональных данных представителем полномочия представителя подтверждаются доверенностью, оформленной в установленном порядке;
• В случаях предоставления субъектом персональных данных письменного согласия на использование персональных данных для такого согласия достаточно простой письменной формы;
• По письменному требованию субъекта персональных данных, в случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
• иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Меры ответственности

Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.