ВЕРСИЯ ДЛЯ СЛАБОВИДЯЩИХ
 

Автономная некоммерческая Академия дополнительного профессионального образования

«Академия массажа, реабилитации и спа»

(АНО ДПО «Академия массажа, реабилитации и спа»)


ПОЛОЖЕНИЕ

О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АНО ДПО «АКАДЕМИЯ МАССАЖА, РЕАБИЛИТАЦИИ И СПА»


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных,осуществляемой без использования средств автоматизации» и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных.

1.2. Для осуществления мероприятий по обеспечению и контролю безопасности персональных данных, обработки обращений субъектов персональных данных и взаимодействия с уполномоченным органом по защите прав субъектов персональных данных (Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор) приказом директора АНО ДПО «Академия массажа, реабилитации и спа» (далее – Академия) назначается работник, ответственный за организацию обработки персональных данных, и работник, ответственный за обеспечение безопасности персональных данных.

1.3. Настоящее Положение подлежит пересмотру и при необходимости актуализации в случае изменений в законодательстве Российской Федерации о персональных данных, при изменении организационной структуры Академии.

2. НАЗНАЧЕНИЕ И ОБЛАСТЬ ДЕЙСТВИЯ

2.1. Настоящее Положение предназначено для организации в Академии процесса обработки персональных данных согласно нормам и принципам действующего федерального законодательства.

2.2. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передаче), обезличиванию, блокированию, уничтожению персональных данных, осуществляемые с использованием средств автоматизации и без их использования.

2.3. Положение обязательно для ознакомления и исполнения всеми работниками, допущенными к обработке персональных данных, ответственным за организацию обработки персональных данных, ответственным за обеспечение безопасности персональных данных, инженерами по телекоммуникации.

3. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных должна осуществляться на основе следующих принципов:
  • законности целей и способов обработки персональных данных и добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей обработки баз данных информационных систем персональных данных.

3.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных законодательством, в частности:
  • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональных данных которых подлежат обработке, а также определяющего полномочия оператора;
  • обработка персональных данных осуществляется в целях исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов учреждения как оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4.2. В следующих случаях требуется дополнительное письменное согласие субъекта на обработку его персональных данных:
  • включение персональных данных субъекта в общедоступные источники персональных данных;
  • обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
  • обработка биометрических персональных данных (сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность);
  • трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;
  • принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
4.3. Обработка специальных категорий персональных данных допускается без письменного согласия субъекта в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что такая обработка осуществляется лицом, профессионально занимающимся медицинской
деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

4.4. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

4.5. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

4.6. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных в форме, определенной законодательством, для возможности доказательства получения согласия субъекта на обработку его персональных данных рекомендуется брать согласие субъекта в произвольной форме.

4.7. Для каждого процесса Академии, в рамках которого производится обработка персональных данных, и для осуществления которого требуется письменное согласие субъекта персональных данных, по приведенной форме составляется отдельный шаблон согласия на обработку с указанием целей обработки персональных данных в рамках данного процесса, видов персональных данных и необходимого периода их хранения.

4.8. В случае если Академия на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности.