Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ (далее - Политика) определяет политику в отношении обработки персональных данных Федерального бюджетного учреждения «Научно-исследовательский центр прикладной метрологии - Ростест» (ФБУ «НИЦ ПМ - Ростест», Учреждение, Оператор).
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Правилами внутреннего трудового распорядка Учреждения.
1.3. Политика разработана с целью обеспечения защиты прав и свобод Субъекта персональных данных при обработке его персональных данных, на основании полномочий ФБУ «НИЦ ПМ – Ростест» в качестве Оператора в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в т.ч. установление ответственности должностных лиц ФБУ «НИЦ ПМ - Ростест», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.4. Настоящая Политика применяется только в отношении пользования субъектом персональных данных личного кабинета, размещенного на сайте ФБУ «НИЦ ПМ - Ростест» в сети интернет по адресу: https://www.rostest.ru/.
1.5. ФБУ «НИЦ ПМ - Ростест» имеет право вносить изменения в Политику. Любые изменения и дополнения к Политике утверждаются приказом генерального директора ФБУ «НИЦ ПМ - Ростест».
1.6. Политика является общедоступным документом, декларирующим для любых заинтересованных лиц основы деятельности ФБУ «НИЦ ПМ - Ростест» при обработке персональных данных и подлежит размещению в открытом доступе на сайте ФБУ «НИЦ ПМ - Ростест» (www.rostest.ru).
2. ОПРЕДЕЛЕНИЯ ТЕРМИНОВ
В настоящей Политике используются следующие основные понятия:
— Оператор - ФБУ «НИЦ ПМ - Ростест», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных (далее - ПД), а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД;
— Реквизиты ФБУ «НИЦ ПМ - Ростест» - ИНН 7727061249, ОГРН 1027700066415, адрес местонахождения 117418, г. Москва, Нахимовский проспект, д. 31, телефон +7 (495) 544 00 00;
— Субъект ПД - физическое лицо, осуществляющее пользование личным кабинетом на сайте Оператора, указанном в пункте 1.4 настоящей Политики;
— ПД Субъекта - фамилия, имя, отчество, контактный номер телефона, адрес электронной почты, история запросов и просмотров на сайте и его сервисах; иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки), а также любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу;
— обработка ПД - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение ПД Субъекта;
— конфиденциальность ПД - обязательное для соблюдения назначенного ответственного лица, получившего доступ к ПД Субъекта, требование не допускать их распространения без согласия Субъекта ПД или иного законного основания;
— распространение ПД - действия, направленные на передачу ПД Субъекта определенному кругу лиц (передача ПД) или на ознакомление с ПД неограниченного круга лиц, в том числе обнародование ПД Субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД Субъектов каким-либо иным способом;
— использование ПД - действия (операции) с ПД, совершаемые должностным лицом ФБУ «НИЦ ПМ – Ростест» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъектов ПД, либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
— общедоступные ПД - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника и/или клиента или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
— информация - сведения (сообщения, данные) независимо от формы их представления.
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор собирает, хранит и обрабатывает только те ПД, которые необходимы для осуществления своей деятельности, а также для обеспечения прав и законных интересов третьих лиц при условии, что при этом не нарушаются права Субъекта ПД.
3.2. Оператор обрабатывает ПД в целях:
— идентификации Субъекта ПД;
— осуществления обратной связи с пользователями Интернет-сайтов Оператора, в том числе для получения от пользователей мнений, вопросов по информации сайтов и информационным продуктам Оператора, а также для направления им ответов, уведомлений, запросов и информации, связанной с оказанием услуг и/или выполнением работ, а также для обработки запросов и заявок от Субъектов ПД;
— оператор не обрабатывает специальные категории ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, а также биометрические ПД;
— достижения целей, предусмотренных действующим законодательством Российской Федерации и условиями заключенных договоров с Субъектами ПД;
— осуществления прав и законных интересов Оператора и третьих лиц, в том числе по исполнению требований действующего законодательства Российской Федерации, обеспечению безопасности деятельности;
— достижения общественно значимых целей создания эффективных инструментов для выполнения требований законодательства, обеспечения единства измерений, повышению качества товаров и услуг, противодействия коррупции, мошенничеству;
— заключения и исполнения обязательств по договорам гражданско-правового характера, в том числе по государственным контрактам;
— осуществления хозяйственной деятельности в соответствии с Уставом ФБУ «НИЦ ПМ – Ростест»;
— осуществления иных функций, полномочий и обязанностей, возложенных на Оператора законодательством Российской Федерации.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор осуществляет деятельность в области обработки ПД на основании и в соответствии с требованиями действующего законодательства Российской Федерации, в том числе:
— Конституции Российской Федерации;
— Федерального закона от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
— Налогового кодекса Российской Федерации;
— Гражданского кодекса Российской Федерации;
— Уголовного кодекса Российской Федерации;
— Кодекса Российской Федерации об административных правонарушениях;
— Трудового кодекса Российской Федерации;
— Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Закона Российской Федерации от 27.12.1991 № 2124-1 «О средствах массовой информации»;
— Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативно-правовыми актами в области защиты персональных данных;
— Федерального закона от 26.06.2008 № 102-ФЗ «Об обеспечении единства измерений»;
— Постановления Правительства Российской Федерации от 20.04.2010 № 250 «О перечне средств измерений, поверка которых осуществляется только аккредитованными в установленном порядке в области обеспечения единства измерений государственными региональными центрами метрологии»;
— Постановления Правительства Российской Федерации от 22.12.2009 № 1057 «О порядке оплаты работ и или услуг по обеспечению единства измерений по регулируемым ценам»;
— Постановления Правительства Российской Федерации от 23.09.2010 № 734 «Об эталонах единиц величин, используемых в сфере государственного регулирования обеспечения единства измерений»;
— Федерального закона от 26.07.2006 № 135-ФЗ «О защите конкуренции»;
— Федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
— Федерального закона от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц»;
— Федерального закона от 17.07.2009 № 172-ФЗ «Об антикоррупционной экспертизе нормативных правовых актов и проектов нормативных правовых актов»;
— иными нормативными правовыми актами в области защиты ПД.
4.2. Обработка ПД осуществляется Оператором с согласия соответствующего Субъекта ПД на обработку его ПД в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Без согласия Субъекта ПД Оператор осуществляет обработку ПД в следующих случаях:
— обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом;
— обработка ПД необходима для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
— осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом;
— обработка ПД необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта ПД;
— осуществляется обработка ПД, доступ неограниченного круга лиц, к которым предоставлен Субъектом ПД либо по его просьбе;
— в иных случаях, прямо предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
5. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор обрабатывает ПД следующих категорий Субъектов ПД:
— физические лица, кандидаты на замещение вакантных должностей Оператора;
— физические лица, являющиеся контрагентами или их представителями, работниками контрагентов Оператора;
— физические лица, являющиеся пользователями Интернет-сайта Оператора;
— физические лица, ПД которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о ПД.
5.2. Содержание и объем обрабатываемых Оператором ПД, категорий Субъектов ПД, указанных в пункте 5.1 определяются в соответствии с целями обработки ПД, указанными в пункте 3.2. Оператор не обрабатывает ПД, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст. 5, ст. 7, ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе:
— законности и справедливости целей и способов обработки ПД;
— соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД;
— соответствия объема и характера обрабатываемых ПД, способов обработки ПД целям их обработки;
— достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;
— недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПД;
— хранение ПД должно осуществляться в форме, позволяющей определить Субъекта ПД, не дольше, чем этого требуют цели их обработки, если срок хранения ПД не установлен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», договором, стороной которого, выгодоприобретателем или получателем, по которому является Субъект ПД;
— уничтожения по достижении целей обработки ПД или в случае утраты необходимости в их достижении, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
6.2. В отношении ПД Оператор осуществляет действия (операции) или совокупность действий (операций), совершаемые как с использованием средств автоматизации, так и без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
6.3. Оператор использует смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки ПД с передачей информации по внутренней локальной сети Оператора и с передачей информации по информационно-телекоммуникационной сети «Интернет». При обработке ПД с использованием средств автоматизации Оператор использует, в том числе, информационные технологии и технические средства, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки ПД, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
6.4. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением предусмотренных законодательством случаев.
6.5. Обработка ПД осуществляется на основании условий, определенных законодательством Российской Федерации. Условия обработки отдельных категорий ПД Оператором закрепляются, в том числе локальными актами Оператора, регулирующими соответствующие сферы деятельности Оператора.
6.6. При обработке ПД субъекты ПД, ПД которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о ПД Оператор обеспечивает их точность, достаточность и в необходимых случаях актуальность по отношению к целям обработки ПД. Оператор принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных ПД.
6.7. Оператор раскрывает обрабатываемые ПД только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
6.8. Сроки обработки ПД определяются в соответствии со сроком, указанным в согласии субъекта ПД, а также в соответствии с иными требованиями законодательства Российской Федерации и локальными нормативными документами Оператора.
6.9. Оператор вправе передавать ПД органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
6.10. Уничтожение Оператором ПД осуществляется в порядке и сроки, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
6.11. Обработку ПД субъектов ПД, являющихся пользователями Интернет -сайтов Оператора, Оператор осуществляет исключительно в объеме данных, представленных самим Субъектом ПД в рамках формы обратной связи, содержащей условие подтверждения Субъектом ПД своего согласия на такую обработку.
Данные посещаемости Интернет-сайтов Оператор получает в обезличенной форме и использует в статистических целях для анализа пользовательского интереса к материалам сайта без передачи третьим лицам.
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в случае выявления неправомерной обработки ПД при обращении Субъекта ПД или его представителя, либо по запросу Субъекта ПД или его представителя, либо уполномоченного органа по защите прав Субъектов ПД Оператор обязан осуществить блокирование неправомерно обрабатываемых ПД, относящихся к Субъекту ПД с момента такого обращения или получения указанного запроса.
7.2. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в случае выявления неточных (неполных, устаревших) ПД при обращении Субъекта ПД или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав Субъектов ПД Оператор обязан осуществить блокирование ПД, относящихся к Субъекту ПД с момента такого обращения или получения указанного запроса, если блокирование ПД не нарушает права и законные интересы Субъекта ПД или третьих лиц.
Решение о блокировании ПД соответствующего Субъекта ПД принимает ответственный за организацию обработки ПД.
7.3. Проверку факта неправомерной обработки ПД или неточности обрабатываемых ПД инициирует и организует должностное лицо Оператора, назначенное ответственным за организацию обработки ПД. Проверка проводится силами специалистов и руководителей подразделений Оператора, в которых обрабатываются ПД, относящиеся к соответствующему Субъекту ПД, с привлечением по необходимости специалистов иных подразделений Оператора по распоряжению должностного лица Оператора, назначенного ответственным за организацию обработки ПД. Результаты проведенной проверки незамедлительно докладываются должностному лицу Оператора, назначенного ответственным за организацию обработки ПД способом и в форме, определенными им в распоряжении или иным порядком.
7.4. Если при обращении Субъекта ПД или его представителя будут обнаружены неточные (неполные, устаревшие) ПД, которые можно в присутствии обратившегося и с его согласия оперативно откорректировать, то действия, описанные выше, допускается не выполнять.
7.5. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» Оператор обязан прекратить обработку ПД и уничтожить ПД либо провести обезличивание в случае:
— достижения цели обработки ПД;
— утраты необходимости в достижении целей обработки ПД;
— отзыва Субъектом ПД согласия на обработку его ПД.
7.6. Уничтожение (либо обезличивание) выполняется в срок, не превышающий тридцать дней с момента наступления события, приводящего к необходимости уничтожения (обезличивания), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПД, иным соглашением между Оператором и Субъектом ПД, а также, если Оператор не вправе осуществлять обработку ПД без согласия Субъекта ПД на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
7.7. В случае отсутствия возможности уничтожения ПД в течение срока, указанного в настоящей Политике, Оператор в соответствии с ч. 6 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» осуществляет блокирование таких ПД и обеспечивает уничтожение ПД в срок не более, чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.
7.8. Факт отсутствия возможности уничтожения ПД по различным причинам докладывается Работником, являющимся ответственным за организацию (выполнение) процедуры уничтожения, Ответственному за организацию обработки ПД который на основании полученного доклада принимает решение об обеспечении уничтожения ПД в срок не более чем шесть месяцев или иной срок, установленный федеральными законами. Решение оформляется распорядительным порядком.
7.9. В соответствии с ч. 3 ст. 20 и ч. 3 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» об устранении допущенных нарушений, в результате которых ПД были неполными, неточными или неактуальными и подлежали изменению, или об уничтожении ПД (в случае неправомерной обработки ПД, т. е. когда они являются незаконно полученными или не являются необходимыми для заявленной цели обработки), Оператор обязан уведомить Субъекта ПД или его представителя.
7.10. Оператор также обязан принять разумные меры для уведомления третьих лиц, которым были переданы ПД Субъекта ПД в случае, когда с целью устранения допущенных нарушений было необходимо обеспечить изменение переданных ПД ввиду их неполноты, неточности или неактуальности.
7.11. Решение о конкретном составе мер принимает должностное лицо Оператора, назначенное ответственным за организацию обработки ПД.
8. КОНТАКТНАЯ ИНФОРМАЦИЯ
8.1. Ответственным за организацию обработки и обеспечения безопасности ПД назначается приказом генерального директора ФБУ «НИЦ ПМ - Ростест».
8.2. В случае неисполнения положений настоящей Политики Оператор несет ответственность в соответствии действующим законодательством Российской Федерации.
8.3. Уполномоченным органом по защите прав Субъектов ПД является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав Субъектов ПД.
Территориальный орган: Управление Роскомнадзора по Центральному федеральному округу, актуальные контактные сведения которого размещены, в том числе по адресу: 77.rkn.gov.ru.
