Положение об обработке персональных данных УОиО "Пушкиногорье"
Положение об обработке персональных данных
в частном Учреждении «Учреждение отдыха и оздоровления «Пушкиногорье»
1. Общие положения
1.1. Частное Учреждение «Учреждение отдыха и оздоровления «Пушкиногорье» (далее – УОиО «Пушкиногорье») – учреждение, созданное по законодательству Российской Федерации (ОГРН 1026000974548 , ИНН 6027067010) и зарегистрированное по юридическому адресу: Российская Федерация, 181370, р.п. Пушкинские Горы, ул. Турбаза, является оператором персональных данных, указанных в настоящем Положении.
1.2. Положение УОиО «Пушкиногорье» в отношении обработки персональных данных (далее – Положение) разработано в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящее Положение является локальным нормативным актом УОиО «Пушкиногорье», принятым с учетом требований, в частности, Конституции РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее так же – Закон «О персональных данных»), иных федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью учреждения.
1.4. В Положении устанавливаются:
• цели, порядок и условия обработки персональных данных;
• категории и перечень обрабатываемых данных,
• категории субъектов обработки персональных данных;
• способы, сроки обработки и хранения, порядок уничтожения персональных данных;
• правовые основания обработки персональных данных;
• меры, которые принимает оператор, чтобы выполнить обязанности, предусмотренные Законом № 152-ФЗ.
1.5. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.6. Основные понятия, используемые в Положении:
1.6.1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.6.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.6.3. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.7. Положение вступает в силу с момента его утверждения директором Учреждения и действует до его отмены приказом директора или до введения нового Положения.
1.8. Внесение изменений в Положение производится приказом директора. Изменения вступают в силу с момента подписания соответствующего приказа.
2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются в Учреждении в соответствии с Положением, относятся:• работники Учреждения, бывшие работники, кандидаты на замещение вакантных должностей, а также члены семей работников;
• клиенты и контрагенты оператора (физические лица, в том числе при заключении гражданско-правовых договоров с физическим лицом);
• представители/работники клиентов и контрагентов оператора (юридических лиц);
• иные лица, персональные данные которых Учреждение обязано обрабатывать в соответствии с законодательством Российской Федерации.
3. Цели обработки персональных данных.
3.1. К целям обработки персональных данных оператора относятся:• заключение, исполнение и прекращение гражданско-правовых договоров;
• организация кадрового учета учреждения, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
• содействие в выполнении осуществляемой работы, учета результатов исполнения работниками УОиО «Пушкиногорье» должностных обязанностей, обеспечения личной безопасности работников УОиО «Пушкиногорье», поощрения и стимулирования труда, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций;
• ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами;
• исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
• сохранение принадлежащего УОиО «Пушкиногорье» имущества;
• составление отчётности в контролирующие органы, в том числе по налогам и сборам, а так же составление статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.
3.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
3.3. На сайте Учреждения в целях оптимизации работы сайта и удобства его использования используются как собственные cookie, так и cookie третьих лиц - сервис аналитики сайта Яндекс. Метрика, top.mail.ru. Сервис веб-аналитики Яндекс. Метрика, предоставляется компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее —Яндекс).Сервис Яндекс. Метрика использует технологию «cookie» — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.
3.4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4. Правовые основания обработки персональных данных
4.1. Правовым основанием обработки персональных данных являются:
• совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации, федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора, в том числе Трудовой кодекс Российской Федерации от 30.12.2001 №197-ФЗ, Федеральный закон от 24.11.1996 №132-ФЗ «Об основах туристской деятельности в Российской Федерации», Постановление Правительства РФ от 18.11.2020 №1853 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации», Закон РФ от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете».
• уставные документы оператора, в том числе Устав частного Учреждения «Учреждение отдыха и оздоровления «Пушкиногорье»;
• договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
5. Категории и перечень обрабатываемых персональных данных,
категории субъектов персональных данных
5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.2. Обработка персональных данных допускается в следующих случаях:
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных при бронировании услуг и предоставление услуг при последующих посещениях, информирование клиентов об услугах, проверка идентификации личности, оказание различных услуг участникам программ, например, начисление и использование баллов и скидок, создание эффективных каналов коммуникации для уведомления клиентов, урегулирование вопросов обслуживания клиентов, рассмотрение жалоб, правовых разногласий;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
5.3. К категориям субъектов персональных данных относятся:
5.3.1. Работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также члены семей работников. В данной категории субъектов оператором обрабатываются персональные данные в связи с реализацией трудовых отношений:
• фамилия, имя, отчество (при наличии);
• пол;
• гражданство;
• дата (число, месяц, год) и место рождения;
• адрес места проживания;
• сведения о регистрации по месту жительства или пребывания;
• номера телефонов (домашний, мобильный, рабочий), адрес электронной почты, сведения о других способах связи;
• должность;
• сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность, военную, гражданскую службу, а также сведения о прежнем месте работы;
• идентификационный номер налогоплательщика (в том числе дата и место постановки на учет, дата выдачи свидетельства);
• данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• данные полиса обязательного медицинского страхования;
• вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа, код подразделения органа, выдавшего его, дата выдачи;
• данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;
• сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
• сведения, содержащиеся в разрешении на временное проживание в РФ (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
• данные трудовой книжки;
• сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
• отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименование органа, выдавшего его);
• сведения об образовании (в том числе наименование образовательной организации, дата окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
• сведения о профессиональной переподготовке и (или) повышении квалификации, сведения о получении дополнительного профессионального образования (в том числе дата, место, программа, реквизиты документов, выданных по результатам);
• сведения о владении иностранными языками (иностранный язык, уровень владения);
• сведения о наличии или отсутствии судимости;
• сведения об участии в управлении хозяйствующим субъектом, занятии предпринимательской деятельностью;
• сведения о состоянии здоровья, о наличии либо отсутствии заболевания, препятствующего выполнению трудовой функции;
• сведения о наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, дата присвоения, реквизиты документа о награждении или поощрении);
• сведения о дисциплинарных взысканиях;
• сведения, содержащиеся в материалах служебных проверок;
• сведения о семейном положении, составе семьи;
• сведения о семейном положении, составе семьи и о близких родственниках;
• сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, обязательствах по исполнительным документам;
• номер расчетного счета, номер банковской карты;
• данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных;
• иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной настоящим Положением;
• иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных;
• данные изображения лица, полученные с помощью фото-видео устройств, позволяющие установить личность субъекта персональных данных.
5.3.2. Клиенты и контрагенты оператора (физические лица, в том числе при заключении гражданско-правовых договоров с физическим лицом); В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, и используемые оператором для исполнения указанного договора и заключения договоров с субъектом персональных данных:
• фамилия, имя, отчество (при наличии);
• пол;
• гражданство;
• дата (число, месяц, год) и место рождения;
• адрес места проживания;
• сведения о регистрации по месту жительства или пребывания;
• номера телефонов (домашний, мобильный, рабочий), адрес электронной почты, сведения о других способах связи;
• должность;
• идентификационный номер налогоплательщика (в том числе дата и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
• вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа, код подразделения органа, выдавшего его, дата выдачи;
• данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• данные полиса обязательного медицинского страхования;
• сведения об образовании (в том числе наименование образовательной организации, дата окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
• сведения о получении дополнительного профессионального образования (в том числе дата, место, программа, реквизиты документов, выданных по результатам);
• сведения о владении иностранными языками (иностранный язык, уровень владения);
• сведения об участии в управлении хозяйствующим субъектом, занятии предпринимательской деятельностью;
• номер расчетного счета;
• иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных.
5.3.3. Представители/работники клиентов и контрагентов оператора (юридических лиц). В данной категории субъектов оператором обрабатываются персональные данные, полученные оператором в связи с заключением договора, стороной которого является клиент/контрагент (юридическое лицо), и используемые оператором для исполнения указанного договора:
• фамилия, имя, отчество (при наличии);
• пол;
• номера телефонов (домашний, мобильный, рабочий), адрес электронной почты, сведения о других способах связи;
• должность;
• вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа, код подразделения органа, выдавшего его, дата выдачи;
• сведения об участии в управлении хозяйствующим субъектом, занятии предпринимательской деятельностью;
• иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных.
5.4. Учреждение не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
6. Порядок и условия обработки персональных данных
6.1. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.6.2. До начала обработки персональных данных Учреждение обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
6.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
6.4. Способы обработки персональных данных:
• автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
• неавтоматизированная обработка персональных данных;
• смешанная обработка персональных данных.
6.5. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
6.6. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
6.7. Учреждение не осуществляет трансграничную передачу персональных данных.
6.8. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
6.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Учреждении осуществляются посредством:
• получения оригиналов документов либо их копий;
• копирования оригиналов документов;
• внесения сведений в учетные формы на бумажных и электронных носителях;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях;
• внесения персональных данных в информационные системы персональных данных.
6.10. В Учреждении используются информационные системы и сервисы, в частности: комплексная система для корпоративного учета и электронного документооборота – СБИС, программа для автоматизации бухгалтерского и налогового учёта – «1С:Бухгалтерия», система «Контур», платформа гостиничного бизнеса «TravelLine», сервис аналитики сайта Яндекс. Метрика, top.mail.ru.
6.11. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
7. Сроки обработки и хранения персональных данных
7.1. Обработка персональных данных оператором ограничивается достижением конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
7.2. Обработка персональных данных в Учреждении прекращается в следующих случаях:
• при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
• при достижении целей их обработки (за исключениями, предусмотренными законодательством РФ);
• по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за исключениями, предусмотренными законодательством РФ), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
• при обращении субъекта персональных данных к Учреждению с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
7.3. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
7.4. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
7.5. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
7.6. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
7.7. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.
7.8. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.9. Обработка персональных данных в учреждении так же осуществляется в следующих информационных системах: единая информационная система УОиО «Пушкиногорье», интегрированная информационная система управления финансами, информационная система управления кадровым составом.
7.10. Персональные данные на бумажных носителях хранятся в Учреждении в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236).
7.11. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8. Актуализация, исправление, удаление, блокирование и уничтожение персональных данных.
8.1. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
• иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
8.2. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных.
8.3. Учреждение блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
8.4. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
8.5. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
8.6. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.
8.7. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Учреждением либо если Учреждение не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.7.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
8.8. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Учреждением. Кроме того, персональные данные уничтожаются в указанный срок, если Учреждение не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
8.9. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Учреждения, обрабатывающие персональные данные.
8.10. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора.
8.10.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
8.10.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.10.3. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении. Форма акта утверждается приказом директора.
9. Защита персональных данных.
Процедуры, направленные на предотвращение
и выявление нарушений законодательства, устранение последствий таких нарушений
9.1. Без письменного согласия субъекта персональных данных Учреждение не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
9.2. С целью защиты персональных данных в Учреждении приказами директора назначается (утверждаются):
• работник, ответственный за организацию обработки персональных данных;
• перечень должностей, при замещении которых обрабатываются персональные данные;
• перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
• порядок доступа в помещения, в которых ведется обработка персональных данных;
• порядок передачи персональных данных в пределах Учреждения;
• форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• порядок защиты персональных данных при их обработке в информационных системах персональных данных;
• порядок проведения внутренних расследований, проверок;
• иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
9.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
9.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Учреждения, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.
9.5. Доступ к персональной информации, содержащейся в информационных системах Учреждения, осуществляется по индивидуальным паролям.
9.6. В Учреждении используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.7. Работники Учреждения, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
9.8. В должностные инструкции работников Учреждения, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
9.9. В Учреждении проводятся внутренние расследования в следующих ситуациях:
• при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
• в иных случаях, предусмотренных законодательством в области персональных данных.
9.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
• за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
• соответствием указанных актов, требованиям законодательства в области персональных данных.
9.11. Внутренний контроль проходит в виде внутренних проверок.
9.11.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается директором.
9.11.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
9.11.3. По итогам внутренней проверки оформляется докладная записка на имя директора. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.
9.12. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
9.12.1. В случае инцидента Учреждение в течение 24 часов уведомляет Роскомнадзор:
• об инциденте;
• его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
• принятых мерах по устранению последствий инцидента;
• представитель Учреждения, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом. 6.12.2. В течение 72 часов Учреждение обязано сделать следующее:
• уведомить Роскомнадзор о результатах внутреннего расследования;
• предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
9.13. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Учреждение уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
9.14. Учреждение уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
10. Ответственность за нарушение норм, регулирующих обработку персональных данных
10.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.10.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
11. Способы связи с оператором (УОиО «Пушкиногорье»)
частное Учреждение «Учреждение отдыха и оздоровления «Пушкиногорье» Адрес: РФ,181370, Псковская область, р.п.Пушкинские Горы, ул. Турбаза Телефоны: 8(81146) 2-16-28, 2-15-35, электронная почта: e-mail: pgtur@mail.ru
СОГЛАСИЕ
на обработку персональных данных
Я, в соответствии с требованиями ст. 9 ФЗ от 27.07.2006 г. «О персональных данных» № 152-ФЗ, настоящим даю свое согласие частному Учреждению «Учреждение отдыха и оздоровления «Пушкиногорье» (далее так же – УОиО «Пушкиногорье», Учреждение) на обработку Учреждением (включая получение от меня и/или от любых третьих лиц, с учетом требований действующего законодательства Российской Федерации) моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своем интересе.
Согласие дается мною для целей заключения с Учреждением любых договоров, направленных на оказание мне или другим лицам, указанным мною услуг по представлению документов для оформления виз для туристических и иных поездок, оказания гостиничных услуг, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказываемых Учреждением услугах и распространяется на следующую информацию: мои фамилия, имя, отчество, пол, год, месяц, дата и место рождения, данные о паспорте, ином документе, удостоверяющем личность (серия и номер, дата его выдачи, наименование органа, выдавшего, срок действия), копию документа удостоверяющего личность, место работы и занимаемая должность и любая иная информация, относящаяся к моей личности, доступная либо известная в любой конкретный момент времени Учреждению (далее - «Персональные данные») предусмотренная 152-ФЗ РФ «О персональных данных».
Мое согласие распространяется, в том числе, и на обработку моих персональных данных, отнесенных Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных» к категории биометрических и специальных, если это требуется для достижения целей, указанных в Договоре.
Я согласен и разрешаю Учреждению передавать мои указанные выше персональные данные третьим лицам с использованием сетей общего пользования и международного информационного обмена, с использованием трансграничной передачи данных на территории иностранных государств, согласие дается в том числе на возможную трансграничную передачу персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных с целью получения для меня въездных виз в представительствах государств, которые я планирую посетить, заключения от моего имени договоров страхования, перевозки, размещения и т.п., а также для достижения иных целей, предусмотренных отношениями между мной и Учреждением.
Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу Персональных данных, а также осуществление любых иных действий с моими Персональными данными с учетом действующего законодательства. Учреждение вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов).
Учреждение имеет право во исполнение своих обязательств на обмен (прием и передачу) моими персональными данными с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа.
Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей Уполномоченному, а также третьим лицам (в том числе, но не ограничиваясь, консульствам и т.д.), а равно как при привлечении третьих лиц к оказанию услуг в моих интересах, передачи Учреждением принадлежащих ему функций и полномочий иному лицу, Учреждение вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия при условии соблюдения требований законодательства (Федеральный закон № 152-ФЗ от 27.07.2006 года).
Настоящее согласие дано мной и действует бессрочно. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Учреждения по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Учреждения. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Учреждение обязано прекратить их обработку в течение периода, необходимого для завершения взаиморасчетов по оплате оказанной мне услуг.
В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных Учреждение вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».