Политика обработки персональных данных в ФБУ «ТФГИ по Центральному федеральному округу»

1. Общие положения

1. Политика обработки персональных данных в ФБУ «ТФГИ по Центральному федеральному округу» (далее-Учреждение) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика обработки персональных данных (далее – Политика) устанавливает цели, принципы и условия обработки персональных данных, объем и категории обрабатываемых персональных данных, правовые основания обработки персональных данных, права и обязанности Учреждения в отношении обработки персональных данных, права субъекта персональных данных, организацию обработки персональных данных и меры по выполнению обязанностей, предусмотренных законодательством в отношении обработки персональных данных.

1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Учреждение.

2. Основные понятия

2.1. В Политике используются следующие понятия:

2.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

2.3. Субъекты персональных данных - работники Учреждения и их близкие родственники, кандидаты для приема на работу (соискатели), а также иные лица, чьи персональные данные стали известны в силу предоставления им со стороны Учреждения льгот, гарантий и компенсаций либо выполнения функций и задач, возложенных на Учреждение;

2.4. Оператор персональных данных - Учреждение самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, действия (операции), совершаемые с персональными данными;

2.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уничтожение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение, обезличивание;

2.6. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

2.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определённому кругу лиц;

2.9. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.11. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.12. Информационная система персональных данных - совокупность содержащихся в базах данных информации (персональных данных) и обеспечивающих их обработку информационных технологий и технических средств.

3. Цели обработки персональных данных

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.3. Обработка персональных данных Учреждением осуществляется в целях:

осуществление деятельности в соответствии с уставом Учреждения, в том числе заключение и исполнение договоров;
обеспечение соблюдения трудового законодательства Российской Федерации;
обеспечение соблюдения налогового законодательства;
ведение кадрового и бухгалтерского учета;
подбор персонала (соискателей);
обеспечение соблюдения пенсионного законодательства Российской Федерации;
обеспечение пропускного режима на территории Учреждения и иные цели в соответствии с действующим законодательством Российской Федерации.

4. Принципы и условия обработки персональных данных

4.1. Обработка персональных данных осуществляется Учреждением в соответствии с требованиями законодательства Российской Федерации.

4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без таковых в случаях, предусмотренных законодательством Российской Федерации.

4.3. Персональные данные в Учреждении обрабатываются с соблюдением следующих принципов:

наличие законных оснований для обработки персональных данных;
ограниченность обработки персональных данных достижением конкретных, заранее определённых и законных целей;
недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
хранение персональных данных осуществляется в форме, позволяющий определить субъект персональных данных, не дольше чем, того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации;
обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации;
обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных с принятием мер по их уничтожению;
обработке подлежат персональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки.

5. Объем и категории обрабатываемых персональных данных

5.1. Объем и категории обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5.2. С целью ведения кадрового и бухгалтерского учета Учреждением обрабатываются следующие категории персональных данных работников, родственников работников, уволенных работников: фамилия, имя, отчество; дата, месяц и год рождения; семейное положение; изображение (фотография); пол; социальное положение; адрес электронной почты; адрес регистрации по месту жительства; адрес фактического проживания; социальное положение; доходы; номер телефона; индивидуальный номер налогоплательщика (ИНН), страховой номер индивидуального лицевого счета (СНИЛС); гражданство; данные документа удостоверяющего личность; данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; документы об образовании, квалификации, профессиональной подготовке и повышении квалификации семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности (в том числе стаж работы), в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; сведения о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения о состоянии здоровья.

Обработка сведений о состоянии здоровья работников осуществляется в отдельных случаях.

Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных 75/50 лет с момента прекращения трудовых отношений.

5.3. С целью обеспечения налогового законодательства Российской Федерации Учреждением обрабатываются следующие категории персональных данных работников: фамилия, имя, отчество; год рождения; дата и место рождения; доходы; пол; адрес электронной почты; адрес места жительства, адрес регистрации; номер телефона, индивидуальный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); гражданство; данные документа, удостоверяющего личность; номер лицевого счета; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время).

5.4. С целью подготовки заключения и исполнения договоров в ходе осуществления уставной деятельности Учреждением обрабатываются следующие категории персональных данных контрагентов: фамилия, имя, отчество; год рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; страховой номер индивидуального лицевого счета (СНИЛС); индивидуальный номер налогоплательщика (ИНН); гражданство; данные документа, удостоверяющего личность, реквизиты банковской карты; номер лицевого счета; профессия; должность; сведения об образовании.

5.5. С целью обеспечения пропускного режима на территорию Учреждения обрабатываются следующие категории персональных данных соискателей, контрагентов, представителей контрагентов, клиентов, учащихся, студентов: фамилия, имя, отчество; год рождения; пол; гражданство; данные документа, удостоверяющего личность; изображение (фотография).

Сроки обработки персональных данных ограничиваются достижением заявленной цели. Срок хранения персональных данных составляет 1 год с момента принятия соответствующего решения.

5.6. С целью обеспечения соблюдений требований пенсионного законодательства Российской Федерации Учреждением обрабатываются следующие категории персональных данных работников, родственников работников: фамилия, имя, отчество; год, месяц и дата рождения; доходы; пол; адрес места жительства; адрес регистрации; страховой номер индивидуального лицевого счета (СНИЛС); индивидуальный номер налогоплательщика (ИНН); данные документа, удостоверяющего личность; профессия; должность; сведения о трудовой деятельности ( в том числе стаж работы, данные о трудовой занятости на текущее время).

Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных составляет 50 лет с момента принятия соответствующего решения.

5.7. Обработка персональных данных по каждой цели их обработки осуществляется следующими способами:

неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

6. Правовые основания обработки персональных данных

6.1. Правовым основанием обработки персональных данных являются:

Конституция Российской федерации;
Гражданский кодекс Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Постановление Правительства Российской Федерации от 07.02.2024 № 132 «Об утверждении Правил допуска должностных лиц и граждан Российской Федерации к государственной тайне»;
иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Учреждения;
Устав Учреждения;
локальные нормативные акты.

7. Права и обязанности Учреждения, права субъекта персональных данных

7.1. Учреждение имеет право:

7.1.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

7.1.2. Учреждение вправе осуществлять обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

7.2. Учреждение обязано:

7.2.1. Организовать обработку персональных данных в соответствии с требованиями Закона о персональных данных.

7.2.2. Отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных.

7.2.3. Обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

7.3. Субъект персональных данных имеет право:

7.3.1. Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации. Сведения предоставляются субъекту персональных данных в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных.

7.3.2. Требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3.3. Требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях.

7.3.4. Отозвать согласие на обработку персональных данных.

7.3.5. Обжаловать действия или бездействие Учреждения при обработке его персональных данных в соответствии с действующим законодательством Российской Федерации.

8. Организация обработки персональных данных

8.1. Сбор персональных данных.

8.1.1. Сбор персональных данных осуществляется непосредственно у самого субъекта персональных данных.

8.1.2. Если предоставление персональных данных и (или) получение согласия на обработку персональных данных являются обязательными в соответствии с законодательством Российской Федерации, субъекту персональных данных разъясняются юридические последствия отказа в предоставлении таких данных и (или) согласия на их обработку.

8.2. Обработка персональных данных.

8.2.1. При обработке персональных данных в Учреждении осуществляются следующие действия: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение.

8.2.2. В случае подтверждения факта неточности персональных данных или выявления факта неправомерности обработки персональных данных Учреждение осуществляет уточнение, блокирование или уничтожение недостоверных, или полученных незаконным путем персональных данных, о чем уведомляет субъекта персональных данных.

8.2.3. Учреждение вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора, условием которого является обязанность обеспечения исполнителем условий конфиденциальности персональных данных и их безопасности при обработке.

8.3. Хранение персональных данных.

8.3.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации.

8.3.2. Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности.

8.3.3. Персональные данные на бумажных носителях хранятся в Учреждении в течение сроков хранения документов, предусмотренных законодательством об архивном деле в Российской Федерации.

8.3.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

8.4. Передача персональных данных.

8.4.1. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

8.4.2. Передача персональных данных в государственные органы и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

8.5. При осуществлении деятельности по обезличиванию персональных данных Учреждение соблюдает требования, установленные постановлением Правительства РФ от 01.08.2025 № 1154 «Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных», приказом Роскомнадзора от 19.06.2025 № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

8.6. Условия и порядок прекращения обработки персональных данных.

8.6.1.Учреждение прекращает обработку персональных данных в следующих случаях:

выявлен факт их неправомерной обработки, обработка прекращается в течение 3 (трех) рабочих дней с даты выявления;
достигнута цель их обработки;
истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.

8.6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Учреждение прекращает обработку этих данных.

8.6.3. При обращении субъекта персональных данных в Учреждение с требованием о прекращении обработки персональных данных в срок, не превышающий 10 (десять) рабочих дней с даты получения соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных законом о персональных данных. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Учреждению необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

9. Меры по выполнению обязанностей, предусмотренных законодательством

9.1. С целью выполнения Учреждением обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, принимаются следующие меры:

9.1.1. Назначение лица, ответственного за организацию обработки персональных данных.

9.1.2. Издание документов, определяющих политику в отношении обработки персональных данных, локальных нормативных актов по вопросам обработки персональных данных, а также устанавливающих процедуры, направленные на предотвращение нарушений законодательства Российской Федерации в отношении персональных данных.

9.1.3. Правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним.

9.1.4. Осуществление контроля за обработкой персональных данных.

10. Порядок взаимодействия с субъектом персональных данных

10.1. Субъект, персональные данные которого обрабатываются, имеет право доступа к своим персональным данным, в том числе к следующей информации:

цели обработки персональных данных;
применяемые способы обработки персональных данных;
перечень обрабатываемых персональных данных;
сроки обработки персональных данных и сроки их хранения;
наименование лица, осуществляющего обработку персональных данных по поручению Учреждения, в случае если обработка поручена третьему лицу.

10.2. Учреждение предоставляет сведения в отношении персональных данных в течение 10 (десяти) рабочих дней с момента получения запросам субъекта или его законного представителя в форме, в которой получен соответствующий запрос (если иное не указано в запросе). В ответе на запрос не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Срок ответа на запрос может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Учреждением в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемых сведений.

10.3. Запрос субъекта персональных данных должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных;
сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие факт обработки персональных данных Учреждением;
подпись субъекта персональных данных.

10.4. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных. Отзыв согласия должен содержать сведения, указанные в п. 10.3 Политики. В случае отзыва согласия на обработку персональных данных Учреждение вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.

11. Заключительные положения

11.1 За нарушение требований, установленных законодательством Российской Федерации и локальными нормативными актами Учреждения в области персональных данных, работники и иные лица, осуществляющие обработку персональных данных, несут дисциплинарную, административную, уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

11.2. К настоящей Политике обеспечивается доступ всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.

11.3. Политика вступает в силу с момента ее утверждения. Изменения в Политику вносятся локальными нормативными актами Учреждения.