Меню
Меню

Политика в отношении обработки персональных данных

Утверждена приказом директора НКО ПОВС «Инсанго» (приказ от 12 февраля 2025 г. N 28) Москва, 2025
1. Введение
1.1. Настоящий документ определяет политику НКО ПОВС «Инсанго» (далее - Общество) в отношении обработки персональных данных (далее - ПДн).В соответствии с законодательством Российской Федерации Общество является оператором персональных данных.
1.2. Настоящая политика разработана в соответствии с действующим законодательством Российской Федерации о ПДн:
- Федеральный закон РФ от 27.07.2006 No 152-ФЗ «О персональных данных» (далее – 152- ФЗ), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;
- Постановление Правительства Российской Федерации от 01.11.2012 No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 No 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без использования таких средств.
1.4. Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской Федерации о ПДн.

2. Принципы обработки персональных данных
2.1. Обработка ПДн осуществляется на основе следующих принципов:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и
законных целей;
- обработка ПДн, несовместимая с целями сбора ПДн, не допускается;
- не допускается объединение баз данных, содержащих ПДн, обработка которых
осуществляется в целях, несовместимых между собой;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки.
Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям
обработки;
- при обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях
необходимости и актуальность ПДн по отношению к заявленным целям их обработки;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем по которому
является субъект ПДн;
- обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей
обработки, в случае утраты необходимости в достижении этих целей, а также по обращению в установленной форме субъекта ПДн или его законного представителя с запросом об уничтожении или обезличивании обрабатываемых ПДн, если иное не предусмотрено федеральным законом.

3. Условия обработки персональных данных
З.1. Обработка ПДн осуществляется с соблюдением принципов и правил, установленных Ф3 «О персональных данных». Обработка ПДн осуществляется в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций,
полномочий и обязанностей;
- обработка ПДн необходима для исполнения договора, стороной которого либо
выгодоприобретателем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей, при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
- осуществляется обработка Пдн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее - ПДн, сделанные общедоступными субъектом ПДн).
3.2. Общество может осуществлять обработку данных о состоянии здоровья субъекта ПДн в следующих случаях:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- для защиты жизни, здоровья или иных жизненно важных интересов работника ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
- для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;
- в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
3.3. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) в Обществе не обрабатываются.
3.4. Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не осуществляется.
3.5. При отсутствии возможности получения письменного согласия субъекта на обработку его ПДн, согласие может быть дано субъектом ПДн или его представителем в любой иной форме, позволяющей подтвердить факт получения такого согласия.
3.6. При поручении обработки ПДн другому лицу Общество заключает договор (далее - поручение оператора) с этим лицом и получает согласие субъекта ПДн, если иное не предусмотрено федеральным законом. При этом Общество в поручении оператора обязует лицо, осуществляющее обработку ПДн по поручению Общества, соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ (О персональных данных).
3.7. В случаях, когда Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Обществу, несет ответственность перед Обществом.
3.8. Общество обязуется и обязует иные лица, получившие доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
З.9. Сроки обработки ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, приказом Росархива от 06.10.2000 (Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения), сроком исковой давности, а также иными требованиями законодательства и нормативными документами Банка России.
4. Обязанности Общества
4.1. В соответствии с требованиями ФЗ (О персональных данных) Общество обязано:
- предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ: в течение тридцати дней с даты
получения запроса субъекта ПДн или его представителя;
- по требованию субъекта ПДн угочнять, блокировать или удалять обрабатываемые ПДн, если
ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки: в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты;
- вести учет обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ГlДн по этим запросам;
- уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи:
  • субъект ПДн уведомлен об осуществлении обработки обществом его ПДн;
  • ПДн получены обществом в связи с исполнением договора, стороной которого либо выгодоприобретателем, по которому является субъект ПДн или на основании
  • федерального закона;
  • Пдн сделаны общедоступными субъектом ПДн или получены из общедоступного
  • источника;
  • общество осуществляет обработку ПДн для статистических или иных
  • исследовательских целей, для осуществления профессиональной деятельности
  • журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
  • предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц.
- в случае достижения цели обработки ПДн незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн, либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных No152-ФЗ (О
персональных данных) или другими федеральными законами;
- в случае отзыва субъектом ПДн согласия на обработку своих Пдн прекратить обработку
ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Обществом и субъектом ПДн. Об уничтожении ПДн Общество обязано уведомить субъекта ПДн;
- в случае поступления требования субъекта ПДн о прекращении обработки ПДн, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПДн;
- документы (носители информации, записи в базах данных) должны уничтожаться способом, исключающим восстановление информации, содержащей ПДн (путем измельчения в бумагорезательных машинах, сжигания, дробления, превращения в бесформенную массу, удаления/обнуления записей в базах данных штатными средствами систем управления базами данных или операционных систем). Если уничтожение ПДн осуществляется по запросу о доступе к ПДн субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов ПДн, то субъекту ПДн направляется уведомление. В
случае, если запрос о доступе к ПДн был направлен уполномоченным органом по защите
прав субъектов ПДн, уведомление направляется также в указанный орган.
- при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Необходимо принимать меры по удалению или уточнению неполных или неточных данных. Уточнение подразумевает изменения в составе ПДн как в электронном виде в Испдн, так и на материальных носителях, с последующим изготовлением и учетом нового материального
носителя;
- в случае, когда предоставление ПДн является обязательным в соответствии с федеральным
законом и субъект ПДн отказывается предоставить его ПДн, работник Общества, осуществляющий сбор ПДн в обязательном порядке разъясняет субъекту ПДн юридические последствия такого отказа. Разъяснение допускается осуществлять в электронном виде (чек- боксы, оповещения и т.п.), на сайте Общества и в личном кабинете.

5. Меры по обеспечению безопасности ПДн при их обработке
5.1. При обработке ПДн Общество применяет необходимые правовые, организационные и технические меры для защиты Пдн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
5.2. Обеспечение безопасности ПДн достигается следующими мерами:
- определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при
их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а
также обеспечением регистрации и учета всех действий, совершаемых с Пдн в
информационной системе Пдн;
- назначением оператором лица, ответственного за организацию обработки персональных
данных;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня
защищенности информационных систем ПДн.

6. Права субъекта ПДн
6.1. В соответствии с ФЗ (О персональных данных субъект ПДн имеет право получить сведения, касающиеся обработки ПДн Обществом, а именно:
- подтверждение факт обработки ПДн Обществом;
- правовые основания и цели обработки ПДн Обществом;
- применяемые Обществом способы обработки ПДн;
- наименование и место нахождения Общества, сведения о лицах (за исключением
работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты
ПДн на основании договора с оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным
законом;
- сроки обработки ПДн Обществом, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных ФЗ (О персональных
данных);
- информацию об осуществленной или предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн
по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Ф3 (О персональных данных) или другими федеральными законами;
- потребовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать согласие на обработку ПДн в предусмотренных законом случаях.

7. Ограничения прав субъектов ПДн
7.1. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если предоставление ПДн нарушает права и законные интересы других лиц.
7.2. В случае если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос. В целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем по которому является субъект ПДн.
7.3. Субъект ПДн вправе направить Обществу повторный запрос в целях получения сведений, касающихся обработки ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока обработки ПДн, а в случае если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.
7.4. Общество вправе ограничить субъекта ПДн на доступ к его ПДн в соответствии с частью 8 статьи 14 Федерального закона (О персональных данных).
Директор В.А. Каточиков
Made on
Tilda