1. Общие положения

 
1.1. Настоящая Политика об обработке и обращении с персональными данными Автономной некоммерческой организации «Центр беспилотных систем и технологий» (далее – Положение) разработана в соответствии с законодательством Российской Федерации, иными действующими нормативно-правовыми актами о персональных данных граждан и уставом Автономной некоммерческой организации «Центр беспилотных систем и технологий» (далее – АНО «ЦБСТ»).
1.2. Положение определяет политику АНО «ЦБСТ» в отношении персональных данных лиц, не состоящих в рабочих отношениях с АНО «ЦБСТ» и порядок осуществления операций с ними.
1.3. Положение разработано в целях:
1)     регламентации порядка осуществления операций с персональными данными лиц, не состоящих в рабочих отношениях с АНО «ЦБСТ»;
2)     обеспечения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных правовых актов, регулирующих использование персональных данных граждан;
3)     определения прав и обязанностей работников АНО «ЦБСТ» в части работы с персональными данными лиц, не связанных рабочими отношениями с АНО «ЦБСТ»;
4)     применения механизмов ответственности к работникам АНО «ЦБСТ» за нарушение правил и норм, регулирующих использование персональных данных.
1.3.1. Для целей Положения используются следующие понятия:
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), в том числе, фамилия, имя, отчество; дата рождения; паспортные данные; адрес регистрации; контактные данные (телефон, адрес электронной почты); идентификационный номер налогоплательщика; любые сведения об имуществе и обязательствах имущественного характера;
Защита персональных данных – комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных Субъектов, а также от иных неправомерных действий.      
Субъект персональных данных (далее – Субъект) – физические лица, не состоящие в рабочих отношениях с АНО «ЦБСТ», передавшие свои персональные данные АНО «ЦБСТ» для заключения договоров гражданско-правого характера, совершения каких-либо сделок и иных случаях, связанных с потреблением услуг, оказываемых АНО «ЦБСТ».
Оператор – АНО «ЦБСТ», самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных Субъекта - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или использования таких средств с персональным данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Распространение персональных данных – действия, направленные на раскрытие персональных данных Субъектов неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных Субъектов определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных Субъектов (за исключением случаев, если обработка необходима для
уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе
персональных данных Субъектов и (или) в результате которых уничтожаются материальные
носители персональных данных Субъектов;
Обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному Субъекту;
Информация - сведения (сообщения, данные) независимо от формы их представления;
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
1.4. Нормы Положения распространяются на работников АНО «ЦБСТ», обладающих правом доступа к персональным данным Субъектов.
1.5. Работников АНО «ЦБСТ», обладающие правом доступа к персональным данным Субъектов в силу исполнения должностных обязанностей, должны быть лично ознакомлены с Положением под подпись согласно Приложению № 5 к Положению.
1.6. В состав персональных данных Субъектов входят:
1) Фамилия, имя, отчество;
2) Дата рождения;
3) Место рождения;
4) Адрес регистрации (места жительства);
5) Номера банковских расчетных счетов;
6) Сведения о социальных льготах;
7) Паспортные данные;
8) ИНН, СНИЛС;
9) Адрес электронной почты;
10) Телефон (домашний, сотовый);
11) Иные данные.
1.7. Целями обработки персональных данных Субъектов являются заключение, исполнение гражданско-правовых договоров по предоставлению услуг.

2. Доступ к персональным данным Субъектов

 

2.1. Правом доступа к персональным данным Субъектов обладают работники АНО «ЦБСТ» занимающие должности, указанные в Приложении № 1 к Положению;
2.2. Лица, обладающие правом доступа к персональным данным Субъектов, обязаны:
1) знать и соблюдать положения действующего законодательства Российской Федерации в области защиты персональных данных;
2) обрабатывать только те персональные данные Субъектов, которые необходимы им для выполнения конкретной трудовой функции, и исключительно в служебных целях;
3) не раскрывать третьим лицам персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации и Положением;
4) не передавать, не распространять и не предоставлять персональные данные без отдельного согласия Субъекта на обработку его персональных данных;
5) обрабатывать персональные данные, разрешенные субъектом персональных данных для распространения, с соблюдением запретов и условий, предусмотренных
п. 3.5. Положения.
2.3. Лица, обладающие правом доступа к персональным данным Субъектов, несут ответственность в порядке, установленном законодательством Российской Федерации.

3. Организация обработки персональных данных Субъектов

 

3.1. Обработка персональных данных Субъектов осуществляется в следующих случаях:
1) с согласия Субъекта на обработку его персональных данных согласно Приложению № 3 к Положению;
2) без согласия Субъекта на обработку его персональных данных, в случае, когда такая обработка необходима:
а) для исполнения гражданско-правового договора, стороной которого или заинтересованной стороной по которому является Субъект, а также для заключения указанных договоров по инициативе Субъекта или договора, по которому Субъект будет являться заинтересованной стороной;
б) для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта;
д) для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом № 210-ФЗ от 27.07.2010 «Об
организации предоставления государственных и муниципальных услуг», включая регистрацию Субъекта на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
е) при опубликовании или обязательном раскрытии персональных данных в соответствии с федеральным законом;
ж) в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
з) обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
и) в иных случаях, предусмотренных действующим законодательством Российской Федерации;
3.2. Источником информации обо всех персональных данных Субъектов является непосредственно Субъект персональных данных.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пп. «в», «д», «з» ч. 2 п. 3.1 Положения.
Если персональные данные получены не от Субъекта, Оператор, за исключением случаев, предусмотренных п. 3.2.1. Положения, до начала обработки таких персональных данных обязан предоставить Субъекту следующую информацию:
- наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
- источник получения персональных данных.
3.2.1. Оператор освобождается от обязанности предоставить Субъекту предусмотренную пунктом 3.2. Положения информацию, в случаях, если:
- субъект уведомлен об осуществлении обработки его персональных данных Оператором;
- персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем поручителем по которому является Субъект;
- обработка персональных данных, разрешенных Субъектом для распространения, осуществляется с соблюдением запретов и условий, предусмотренных п. 3.5. Положения;
- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы Субъекта;
- предоставление Субъекту сведений, предусмотренных пунктом 3.2. Положения, нарушает права и законные интересы третьих лиц.
3.3. Обработка персональных данных ведется следующими способами:
1) с использованием средств автоматизации с передачей по внутренней сети Оператора без передачи по сети Интернет;
2) без использования средств автоматизации.
3.4. Обработка персональных данных Субъектов может быть поручена Оператором другому лицу только с согласия Субъекта, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. При этом в поручении Оператора должны быть определены:
- перечень персональных данных;
- перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
- цели обработки персональных данных;
- обязанности такого лица;
- требования к защите обрабатываемых персональных данных.
3.5. Передача (распространение, предоставление, доступ) неограниченному кругу лиц (в частности, размещение на сайте АНО «ЦБСТ») персональных данных, разрешенных Субъектом для распространения, должна производиться исключительно с согласия на распространение персональных данных (далее – согласие на распространение) по форме Приложения № 4 к Положению, если иное не предусмотрено федеральным законом и Положением.
В случае раскрытия персональных данных неопределенному кругу лиц (размещения в социальных сетях или иных публичных источниках) самим Субъектом без предоставления Оператору согласия на распространение работникам АНО «ЦБСТ» запрещается распространять в последующем или обрабатывать такие персональные данные иным образом.
Если из предоставленного Субъектом согласия на распространение не следует, что Субъект согласился с распространением персональных данных, то такие персональные данные обрабатываются Оператором без права распространения.
Молчание или бездействие Субъекта ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных Субъектом для распространения.
В согласии на распространение Субъект вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц (далее – запреты и условия). Отказ Оператора в установлении Субъектом запретов и условий, предусмотренных настоящим пунктом Положения, не допускается.
Если из предоставленного Субъектом согласия на распространение не следует, что Субъект не установил запреты и условия, или если в предоставленном Субъектом согласии не указаны категории и перечень персональных данных, для обработки которых Субъект устанавливает запреты и условия, то такие персональные данные обрабатываются Оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц. Согласие на распространение может быть предоставлено Оператору Субъектом непосредственно или с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора).
Оператор обязан в срок не позднее 3 (Трех) рабочих дней с момента получения соответствующего согласия Субъекта опубликовать в источнике, где были размещены персональные данные Субъекта, информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения. Установленные Субъектом запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
Действие согласия Субъекта на распространение прекращается с момента поступления Оператору требования, содержащего фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Субъекта, а также перечень персональных данных, обработка которых подлежит прекращению. С этого момента передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена Оператором. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

4. Передача, хранение и уничтожение персональных данных

 

4.1. При передаче персональных данных работники АНО «ЦБСТ» должны соблюдать следующие требования:
1) не сообщать персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, предусмотренных пп. 2 п. 3.1 Положения, а также в случаях, установленных действующим законодательством Российской Федерации;
2) осуществлять передачу персональных данных Субъектов в пределах АНО «ЦБСТ» в соответствии с Положением;
3) предоставлять доступ к персональным данным Субъектов только лицам, указанным в Приложении № 1 к Положению.
4.2. Персональные данные Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
4.3. Персональные данные Субъектов, зафиксированные на бумажных носителях, хранятся в папках, доступ к которым имеют лица, указанные в Приложении № 1 к Положению, и по окончании рабочего дня указанные лица не вправе оставлять на рабочем месте (в открытом виде, свободном доступе) документы, содержащие персональные данные Субъектов.
4.4. Не допускается хранение и размещение документов, содержащих персональные данные Субъектов, в открытых электронных каталогах (файлообменниках).
4.5. Хранение персональных данных в форме, позволяющей определить Субъекта, осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.6. Под достижением цели обработки персональных данных Субъекта в рамках Положения понимается истечение установленных действующим законодательством Российской Федерации сроков хранения документов, содержащих персональные данные Субъекта.
В случае достижения цели обработки персональных данных Субъекта Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные Субъектов или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных Субъектов, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Оператором и Субъектом либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами.
В случае отзыва Субъектом согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Оператором и Субъектом, либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных действующим законодательством Российской Федерации.
В случае обращения Субъекта к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 (Десяти) рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных п. 2 ч. 3.1. Положения. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отсутствия возможности уничтожения персональных данных Субъектов в сроки, установленные в настоящем пункте Положения, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных Субъектов осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных Субъектов в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящим пунктом, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
Оператор обязан сообщить Субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к нему, а также предоставить возможность ознакомления с этими персональными данными при обращении Субъекта или его представителя либо в течение 10 (Десяти) рабочих дней с даты получения запроса Субъекта или его представителя. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес Субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос Субъекта может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет указанные сведения Субъекту или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае отказа в предоставлении информации о наличии персональных данных о Субъекте или персональных данных Субъекту или его представителю при их обращении либо при получении запроса Субъекта или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение действующего законодательства, являющееся основанием для такого отказа, в срок, не превышающий 10 (Десяти) рабочих дней со дня обращения Субъекта или его представителя либо с даты получения запроса Субъекта или его представителя. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес Субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 (Десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
4.7. Уничтожение документов (носителей), содержащих персональные данные Субъекта, производится путем измельчения.
4.8. Для уничтожения документов на бумажных носителях допускается применение шредера.
4.9. Персональные данные Субъектов, представленные в электронном виде, уничтожаются путем стирания или форматирования носителя.

5. Организация защиты персональных данных

 

5.1. АНО «ЦБСТ» при защите персональных данных Субъектов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:
- назначение лица, ответственного за организацию обработки персональных данных, которое осуществляет внутренний контроль за соблюдением Оператором и лицами, указанными в Приложении № 1 к настоящему Положению, законодательства Российской Федерации о персональных данных, в том числе, требований к защите персональных данных;
- установление правил доступа к персональным данным, в частности, организация режима обеспечения безопасности помещений, в которых находятся и обрабатываются персональные данные Субъектов, размещена информационная система персональных данных (далее – помещение), который препятствует возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в помещения, а именно:
1)              запрещение нахождения работников в помещениях в целях, не связанных со служебной деятельностью;
2)              нахождение лиц, не участвующих в обработке персональных данных, в помещениях возможно только в присутствии лиц, осуществляющих обработку персональных данных;
3)              после исполнения своих обязанностей в помещениях работников необходимо убрать все документы ограниченного пользования в специально отведенное для этого место, выключить всю аппаратуру, если это не препятствует технологическому процессу обработки информации, закрыть помещение;
4)              при начале работы, а также после продолжительного отсутствия на рабочем месте следует проверить отсутствие несанкционированного доступа в помещение, а при его обнаружении немедленно сообщить об этом факте лицу, ответственному за организацию обработки персональных данных.
5)              установление индивидуальных паролей доступа работников в информационную систему в соответствии с их трудовыми обязанностями.
6)              применение прошедших в установленном порядке процедуру оценки соответствия шифровальных (криптографических) средств защиты информации при передаче персональных данных;
7)              сертифицированное антивирусное программное обеспечение информационной системы (электронной базы данных), с регулярно обновляемыми базами;
8)              обеспечение сохранности и учета носителей персональных данных;
9)              осуществление внутреннего контроля за соблюдением работников подразделения, имеющими доступ к персональным данным, законодательства Российской Федерации о персональных данных, в том числе, требований к защите персональных данных, а также организации и контроля за приемом и обработкой обращений и запросов Субъектов персональных данных.
10)           создание резервных копий персональных данных;
11)           ознакомление лиц, обладающих правом доступа к персональным данным Субъектов, с Положением, а также другими нормативными актами (приказами, распоряжениями, инструкциями и др.), регулирующими обработку и защиту персональных данных Субъектов;
12)           обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
13)           восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
14)           определение угроз безопасности и уровней защищенности персональных данных, которые хранятся в информационных системах;
15)           оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
16)           осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.2. Организацию защиты персональных данных Субъектов при их обработке в электронном виде осуществляет подразделение по защите информации, в функциональные задачи которого входят:
1) обеспечение бесперебойного функционирования систем защиты информации (включая систему защиты персональных данных Субъектов);
2) обеспечение контроля за информационными ресурсами, содержащими информацию о персональных данных Субъектов;
3) определение угроз безопасности и уровней защищенности персональных данных Субъектов при их обработке в информационных системах;
4) организация разработки и внедрения средств и систем защиты информации;
5) отслеживание инцидентов нарушения безопасности информации, связанных с утечками конфиденциальной информации, появлением вирусов, разглашением ключей и паролей и другими аналогичными событиями.
5.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов, Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных в соответствии с Порядком и условиями взаимодействия Роскомнадзора с операторами в рамках ведения реестра учета инцидентов в области персональных данных:
1) в течение 24 (Двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение 72 (Семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
5.4. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
5.5. В случае выявления неправомерной обработки персональных данных при обращении Субъекта или его представителя либо по запросу Субъекта или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении Субъекта или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому Субъекту, или
Обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 (Семи) рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
5.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 (Трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 (Десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить Субъекта или его представителя, а в случае, если обращение Субъекта или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5.7. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 (Десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6. Ответственность за нарушение норм,

регулирующих обработку персональных данных

 

6.1. Работники АНО «ЦБСТ», виновные в нарушении порядка обращения с персональными данными, несут ответственность в соответствии с действующим законодательством Российской Федерации.

7. Заключительные положения

7.1. Положение вступает в силу в момент его утверждения приказом по АНО «ЦБСТ» и действует бессрочно до замены новым локальным нормативным актом аналогичного назначения.
7.2. Все работники АНО «ЦБСТ», имеющие доступ к персональным данным потребителей услуг согласно номенклатуре должностей (Приложение № 1 к Положению), должны быть ознакомлены с Положением под подпись (Приложение № 4 к Положению).

Приложение № 1

Перечень работников АНО «ЦБСТ»,

обладающих правом доступа к персональным данным лиц,

не состоящих в трудовых отношениях с АНО «ЦБСТ»

 

Приложение № 2

ДОЛЖНОСТНОЙ РЕГЛАМЕНТ

лица, ответственного за обеспечение безопасности

персональных данных лиц, не состоящих в трудовых отношениях с АНО «ЦБСТ»

 

1. Общие положения.
1.1. Настоящий должностной регламент (далее – Регламент) определяет основные цели, функции и права лица, ответственного за обеспечение безопасности персональных данных (далее – Специалист) в АНО «ЦБСТ».
1.2. Специалист назначается приказом по АНО «ЦБСТ» в соответствии с требованиями Федерального Закона № 152-ФЗ от 27.07.2006 «О персональных данных».
1.3. Непосредственное руководство работой Специалиста осуществляет Генеральный директор АНО «ЦБСТ» или уполномоченное им должностное лицо.
1.4. В своей работе Специалист руководствуется законодательными и иными нормативными актами Российской Федерации в области обеспечения безопасности персональных данных, нормативными методическими документами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), локальными нормативными актами АНО «ЦБСТ».
2. Основные функции Специалиста.
2.1. Проведение единой политики, организация и координация работ по обеспечению безопасности персональных данных Субъектов.
2.2. Проведение мероприятий по обеспечению безопасности персональных данных Субъектов при их обработке:
- мероприятия по размещению, организации режима допуска в помещения, где ведется обработка персональных данных;
- мероприятия по защите от несанкционированного доступа к персональным данным.
2.3. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным или передачи их лицам, не имеющим права доступа к такой информации.
2.4. Своевременное обнаружение фактов несанкционированного доступа к персональным данным Субъектов.
2.5. Постоянный контроль за обеспечением уровня защищенности персональных данных.
2.6. Разработка организационных распорядительных документов по обеспечению безопасности персональных данных Субъектов в пределах своей компетенции.
2.7. Организация расследования причин и условий появления нарушений безопасности персональных Субъектов и разработка предложений по устранению недостатков предупреждению подобного рода нарушений, а также осуществление контроля устранением этих нарушений.
2.8. Разработка предложений, участие в проводимых работах по совершенствованию системы безопасности персональных данных Субъектов.
2.9. Проведение периодического контроля эффективности мер защиты персональных данных Субъектов. Учет и анализ результатов контроля.
2.10. Организация повышения осведомленности руководства и работников АНО «ЦБСТ» по вопросам обеспечения безопасности персональных данных Субъектов.
2.11. Рассмотрение обращений Субъекта и поступивших запросов, относящихся к Субъектам.
3. Права Специалиста.
3.1. Специалист имеет право:
- запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных;
- разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных;
- контролировать деятельность структурных подразделений АНО «ЦБСТ» в части выполнения ими требований по обеспечению безопасности персональных данных Субъектов;
- вносить предложения Генеральному директору АНО «ЦБСТ» о приостановке обработки персональных данных Субъектов в случае обнаружения несанкционированного доступа, утечки (или предпосылок для утечки) персональных данных;
- привлекать необходимых специалистов из числа работников АНО «ЦБСТ» для проведения анализа, мероприятий и разработки организационно-распорядительных документов по вопросам обеспечения безопасности персональных данных Субъектов.
4. Ответственность Специалиста.
4.1. Специалист несет персональную ответственность за:
- правильное и своевременное выполнение приказов, распоряжений, указаний генерального директора АНО «ЦБСТ» по вопросам, входящим в возложенные на него обязанности;
- качество проводимых работ по обеспечению безопасности персональных данных Субъектов в соответствии с функциональными обязанностями.

Приложение №3

Согласие на обработку персональных данных, физического лица, выполняющего работы, оказывающего услуги по договору гражданского-правового характера

Даю свое согласие Автономной некоммерческой организации «Центр беспилотных систем и технологий», юридический адрес: 129110, г. Москва, вн. тер. г., Муниципальный округ Мещанский, Банный пер., д. 3, пом. 208, ОГРН 1247700190430, ИНН 9702064851, КПП 770201001, (далее – Оператор) на обработку (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение), передача третьим лицам в соответствии с законодательством Российской Федерации моих персональных данных с целью обеспечения соблюдения законов и иных нормативно-правовых актов Российской Федерации, регулирующих заключение гражданско-правовых отношений и иных непосредственно связанных с ними отношений; начисления вознаграждения за выполненные работы/оказанные услуги; начисления и уплаты предусмотренных законодательством Российской Федерации налогов, сборов и иных обязательных платежей; представление установленной законодательством отчетности в отношении физических лиц, выполняющих работы/оказывающих услуги по договорам гражданско-правового характера; предоставление сведений в банк для перечисления вознаграждения за выполненные работы/ оказанные услуги; обеспечение моей безопасности; контроль количества и качества выполняемой мной работы/услуги.

Перечень персональных данных, на обработку которых дается согласие:
фамилия, имя, отчество;
число, месяц, год рождения;
информация о гражданстве;
паспортные данные;
сведения документов об образовании (основном, дополнительном, повышении квалификации);
сведения об образовании, повышении квалификации, о наличии специальных знаний или специальной подготовки, в том числе о послевузовском профессиональном образовании; сведения о присвоении ученого звания, ученой степени;
данные банковских реквизитов; адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика;
срок выполнения работ; общая цена договора; объем услуг; содержание и реквизиты гражданско-правового договора.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

В случае получения моего письменного заявления об отзыве настоящего согласия на
обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения правоотношений, связывающих меня с Оператором.

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
Подтверждаю, что ознакомлен(а) с положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.