Политика ГАУ «Институт Генплана Москвы» в отношении обработки персональных данных физических лиц


1. Общие положения

1.1. Настоящая Политика ГАУ «Институт Генплана Москвы» в отношении обработки персональных данных физических лиц (далее –Политика, Институт) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и определяет основные направления деятельности Института в работе с персональными данными физических лиц, обратившихся в Институт путем подачи (направления) письменного обращения, также с использованием интернет-ресурсов, включая официальный сайт genplanmos.ru, сервисы «Личный кабинет заказчика» partnerslk.genplanmos.ru и «Мой город» gorod.genplanmos.ru (далее – Сайт, Сервисы), любые другие сервисы на домене genplanmos.ru, электронную почту Института info@genplanmos.ru, site@genplanmos.ru (по вопросам работы официального сайта) и иным способом (далее — Заявители) и обеспечению их защиты.

1.2. Настоящая Политика регламентирует цели, содержание и порядок обработки персональных данных в Институте, меры, направленные на их защиту, а также на выявление и предотвращение нарушений законодательства Российской Федерации в данной области.

1.3. Целью настоящей Политики является обеспечение защиты прав субъектов персональных данных, к которым относятся Заявители.

2. Порядок обработки персональных данных Заявителей

2.1. Персональные данные Заявителей обрабатываются в соответствии с законодательством в целях исполнения Институтом и/или его партнерами своих обязательств перед Заявителем, приглашения Заявителя к участию в мероприятиях Института и его партнеров, предоставления справочной и иной информации, продвижения работ и услуг, доступа и использования возможностей Сайта и Сервисов Института, а также рассылки сообщений рекламно-информационного характера и сервисных сообщений.

2.2. В целях, указанных в пункте 2.1 настоящей Политики, обрабатываются следующие категории персональных данных Заявителей:
- при регистрации на Сайте и Сервисах Заявитель предоставляет следующую информацию: фамилия, имя, адрес электронной почты и номер телефона;
- при регистрации для участия в мероприятиях Института Заявитель может предоставить следующую информацию: фамилию, имя, отчество, пол, дата рождения, номер телефона, место работы (учебы), должность, фотографию;
- при подаче/направлении письменного обращения, в том числе через Сайт и Сервисы, Заявитель сообщает (предоставляет) о себе сведения, позволяющие направить ему ответ: фамилию, имя (отчество - по желанию), адрес (почтовый и (или) электронной почты и пр.), а также иные персональные данные, которые необходимы для достижения цели обращения (например, для заключения договора/соглашения - паспортные данные и т.п.).

2.3. Обработка персональных данных Заявителя осуществляется при условии получения его согласия, в явном виде выраженного через электронную форму на Сайте и Сервисах, либо в письменном обращении посредством его подписания/направления по электронной почте при предоставлении Заявителем персональных данных, содержащихся как в обращении, так и прилагаемых к нему документах.

2.4. Лица, уполномоченные на обработку персональных данных, перечень должностей которых приведен в приложении № 1 к настоящей Политике (далее - уполномоченные лица), в своей работе с указанными сведениями руководствуются законодательством Российской Федерации и настоящей Политикой. До начала работы со сведениями уполномоченные лица подписывают обязательство о неразглашении персональных данных субъекта по форме согласно приложению № 2 к настоящей Политике.

2.5. Обработка персональных данных Заявителей осуществляется уполномоченными лицами и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.6. Обработка персональных данных, для которой требуется письменное согласие, оформленное в соответствии с частью 4 статьи 9 Закона № 152-ФЗ, без получения такового не осуществляется. Согласие, указанное в пункте 2.3 настоящей Политики, позволяет обрабатывать персональные данные исключительно в объеме и способами, необходимыми для достижения цели обращения.

2.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Заявителей, осуществляется путем:
- получения персональных данных непосредственно от субъектов персональных данных в электронной форме;
- внесения сведений в учетные формы (на электронных носителях);
- формирования персональных данных в ходе маркетинговых мероприятий;
- внесения персональных данных в информационные системы, используемые уполномоченными лицами.

2.8. Институт обязуется не передавать полученные от Заявителя персональные данные третьим лицам за исключением установленных законодательством случаев.

2.9. Не считается нарушением предоставление Институтом информации агентам и третьим лицам для осуществления доступа Заявителя на мероприятия, на которые Заявитель прошел регистрацию.

2.10. Не считается нарушением передача Институтом третьим лицам данных о Пользователе в обезличенной форме в целях оценки и анализа работы Сайта и Сервисов.

2.11. Институт вправе использовать технологию «cookies». Полученная Институтом информация об iр-адресе посетителя Сайта и Сервисов и сведениях об интернет-сайте (информационном ресурсе), с которого осуществлен переход на Сайт и Сервисы, не используется для установления его личности.

2.12. Институт не несет ответственности за сведения, в частности, персональные данные, предоставленные Заявителем на Сайте и Сервисах в общедоступной форме.

2.13. Уполномоченным лицам запрещается:
- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке, а также осуществлять ввод персональных данных под диктовку;
- оставлять без присмотра на рабочем месте реквизиты доступа к информационным системам, содержащим персональные данные.

2.14. Ответственными за организацию работы с персональными данными лицами являются заместители директора, курирующие вопросы информационной безопасности, делопроизводства, а также финансовые и кадровые вопросы, которые приравниваются к уполномоченным лицам.

2.15. Лица, ответственные за организацию работы с персональными данными, обязаны:
- обеспечивать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Институте от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- в случае нарушения требований к защите персональных данных обеспечивать принятие необходимых мер по восстановлению нарушенных прав субъектов персональных данных.

2.16. Уполномоченные лица, ответственные за организацию обработки персональных данных, вправе:
1) Иметь доступ к информации, касающейся обработки персональных данных в Институте и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых в Институте способов обработки персональных данных;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными нормативными правовыми актами.
2) Привлекать для реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Институте, иных работников (кроме уполномоченных лиц) с возложением на них соответствующих обязанностей и закреплением ответственности.

3. Сроки обработки и хранения персональных данных и порядок уничтожения персональных данных при достижении целей обработки или наступлении иных законных оснований

3.1. Сроки обработки и хранения персональных данных Заявителей определяются в соответствии с законодательством Российской Федерации.

3.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо выражен последним в согласии на их обработку.

3.3. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а равно окончания срока действия согласия на их обработку, если иное не предусмотрено федеральным законом.

3.4. Контроль сохранности и использования материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют уполномоченные лица.

3.5. Персональные данные хранятся в электронной форме на сервере Института и уничтожаются уполномоченными лицами путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление названных сведений, или удалением с машинных носителей информации методами и средствами гарантированного удаления остаточной информации.

4. Ответственность за нарушение порядка хранения и использования персональных данных

Лица, допущенные к персональным данным, виновные в нарушении правовых норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.