Политика в отношении обработки и защиты персональных данных

Введение 

Настоящая «Политика в отношении обработки и защиты персональных данных в НКО «Альтернатива» (ООО)» (далее – Политика) определяет цели, способы и принципы обработки персональных данных в НКО «Альтернатива» (ООО) (далее - НКО), а также принимаемые НКО меры по защите персональных данных. 

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») в целях обеспечения реализации требований законодательства Российской Федерации в области персональных данных, направленных на обеспечение защиты прав и свобод граждан при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются, является важнейшим условием реализации целей деятельности НКО. 

В соответствии с действующим законодательством НКО является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных, включая состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными. НКО внесена в реестр операторов персональных данных (рег. № 12-0251154). 

НКО организует и обеспечивает обработку персональных данных и безопасность персональных данных при их обработке в соответствии с требованиями федеральных законов и принятых на основании и во исполнение федеральных законов государственными органами, Банком России, органами местного самоуправления в пределах их полномочий нормативных правовых актов, нормативных актов, правовых актов (далее - нормативные правовые акты) в области обработки и обеспечения безопасности персональных данных. Персональные данные, обрабатываемые в НКО, относятся к сведениям ограниченного распространения, на которые распространяются все требования по защите информации, установленные во внутренних документах НКО. Необходимые правовые, организационные и технические меры для защиты персональных данных регламентируются внутренними документами НКО в области защиты информации.

В рамках настоящей Политики используются понятия, термины и сокращения, приведенные в разделе 1 или специально указанные в тексте настоящей Политики. Иные используемые понятия и термины применяются в их значениях, приведенных в федеральных законах и нормативных правовых актах.

 

1. Термины и определения 

 

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 

Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных». 

Субъект персональных данных - физическое лицо, прямо или косвенно определенное или определяемое на основании относящихся к нему персональных данных. 

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики под «оператором» понимается НКО «Альтернатива» (ООО). 

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. 

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

Ответственный за организацию обработки персональных данных - должностное лицо, которое назначается Приказом единоличного исполнительного органа НКО, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки персональных данных в НКО в соответствии с положениями законодательства Российской Федерации в области персональных данных.

 Безопасность персональных данных - защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. 

Обезличенные персональные данные - данные, на основании которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Общедоступные персональные данные – персональные данные, к которым с согласия субъекта персональных данных предоставлен доступ неограниченного круга лиц или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. 

Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также иные персональные данные, относимые действующим законодательством к специальным категориям персональных данных. 

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 

Работник НКО (работник) - лицо, с которым НКО установлены трудовые отношения (принятое на штатную должность в НКО, заключившее с работодателем (НКО) трудовой договор и работающее как по основному месту работы, так и по совместительству) или отношения по договорам гражданско-правового характера (договорам подряда, на оказание услуг и т.д.). 

Клиенты - физические и юридические лица (резиденты и нерезиденты), индивидуальные предприниматели, физические лица, занимающиеся частной практикой, имеющие в НКО банковский счёт и (или) счёт, открытый на основании договора банковского счета, и (или) заключившие с банком договор на совершение какой-либо банковской операции или иной сделки. 

Бенефициарный владелец - физическое лицо, которое в конечном счёте прямо или косвенно (через третьих лиц) владеет (имеет преобладающее участие более 25% в капитале) клиентом - юридическим лицом либо имеет возможность контролировать действия клиента. 

Представитель - лицо, действующее от имени представляемого лица (работника, клиента, корреспондента, контрагента, партнёра) на основании закона, договора или доверенности. 

Выгодоприобретатель – лицо, к выгоде которого действует клиент, в том числе на основании агентского договора, договора поручения, комиссии и доверительного управления, при проведении операций с денежными средствами и иным имуществом. 

 

2. Правовое основание обработки персональных данных 

 

2.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми НКО осуществляет обработку персональных данных. 

2.2. К правовым основаниям обработки персональных данных в НКО относятся: - федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью НКО;

- Устав НКО; -лицензии на осуществляемые НКО виды деятельности; 

- договоры, заключаемые между НКО и субъектом персональных данных; 

- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, не соответствующих полномочиям НКО). 

2.3. При осуществлении обработки персональных данных НКО руководствуется следующими федеральными законами Российской Федерации и нормативными правовыми актами в части персональных данных:  

- Гражданский кодекс Российской Федерации;  

- Трудовой кодекс Российской Федерации;  

- Налоговый кодекс Российской Федерации;  

- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; 

- Федеральный закон от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»;  

- Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;  

- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;  

- Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;  Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;  

- Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»;  

- Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;  

- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;  

- Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;  

 - Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;  

- Федеральный закон от 28.06.2014 № 173-ФЗ «Об особенностях осуществления финансовых операций с иностранными гражданами и юридическими лицами, о внесении изменений в Кодекс Российской Федерации об административных правонарушениях и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;  

- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;  

- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;  

- Положение Банка России от 15.10.2015 № 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;  

- Положение Банка России от 20.07.2007 № 307-П «О порядке ведения учета и представления информации об аффилированных лицах кредитных организаций»;  Положение Банка России от 19.06.2012. №383-П «О правилах осуществления перевода денежных средств»;  

- Инструкция Банка России от 30.05.2014 № 153-И «Об открытии и закрытии банковских счетов, счетов по вкладам (депозитам), депозитных счетов»;  

 - Инструкция Банка России от 17.06.2014 № 154-И «О порядке оценки системы оплаты труда в кредитной организации и порядке направления в кредитную организацию предписания об устранении нарушения в ее системе оплаты труда»; 

- Положение Банка России от 27.12.2017 № 625-П «О порядке согласования Банком России назначения (избрания) кандидатов на должности в финансовой организации, уведомления Банка России об избрании (прекращении полномочий), назначении (освобождении от должности) лиц, входящих в состав органов управления, иных должностных лиц в финансовых организациях, оценки соответствия квалификационным требованиям и (или) требованиям к деловой репутации лиц, входящих в состав органов управления, иных должностных лиц и учредителей (акционеров, участников) финансовых организаций, направления членом совета директоров (наблюдательного совета) финансовой организации информации в Банк России о голосовании (о непринятии участия в голосовании) против решения совета директоров (наблюдательного совета) финансовой организации, направления запроса о предоставлении Банком России информации и направления Банком России ответа о наличии (отсутствии) сведений в базах данных, предусмотренных статьями 75 и 76.7 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", а также о порядке ведения таких баз»;  

- Указание Банка России от 25.12.2017 № 4662-У «О квалификационных требованиях к руководителю службы управления рисками, службы внутреннего контроля и службы внутреннего аудита кредитной организации, лицу, ответственному за организацию системы управления рисками, и контролеру негосударственного пенсионного фонда, ревизору страховой организации, о порядке уведомления Банка России о назначении на должность (об освобождении от должности) указанных лиц (за исключением контролера негосударственного пенсионного фонда), специальных должностных лиц, ответственных за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма кредитной организации, негосударственного пенсионного фонда, страховой организации, управляющей компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, микрофинансовой компании, сотрудника службы внутреннего контроля управляющей компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, а также о порядке оценки Банком России соответствия указанных лиц (за исключением контролера негосударственного пенсионного фонда) квалификационным требованиям и требованиям к деловой репутации»;  

- Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»;  

- другие определяющие случаи и особенности обработки персональных данных федеральные законы и принятые на основании и во исполнение федеральных законов нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. 

2.4. В случае внесения изменений и дополнений в федеральные законы и нормативные правовые акты, указанные в пункте 2.3. Политики, настоящую Политику следует применять с учетом внесенных в федеральные законы и нормативные правовые акты изменений и дополнений до момента внесения соответствующих изменений в настоящую Политику. 

 

3. Цели обработки персональных данных 

 

Обработка персональных данные осуществляется НКО в целях:  

- осуществления банковской деятельности;  

- исполнения требований законодательства Российской Федерации;

- осуществления банковских операций и сделок в соответствии с Уставом НКО и выданными НКО лицензиями на совершение банковских и иных операций;  

- заключения с субъектами персональных данных любых договоров и их дальнейшего исполнения;  

- оформления трудовых отношений между НКО и работниками в соответствии с требованиями действующего законодательства, в том числе привлечение и отбор кандидатов на работу в НКО;  

 - формирования отчетности, в том числе для предоставления Банку России; 

- осуществления НКО административно-хозяйственной деятельности, а также для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации на НКО функций, полномочий и обязанностей.

 

4. Перечень персональных данных, обрабатываемых в НКО 

 

4.1. Перечень персональных данных, обрабатываемых в НКО, определяется в соответствии с законодательством Российской Федерации и локальными актами НКО с учетом целей обработки персональных данных, указанных в разделе 3 Политики. 

4.2. При определении состава обрабатываемых персональных данных субъектов персональных данных НКО руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных. 

4.3. К субъектам персональных данных, обрабатываемых НКО, относятся: 

- физические лица, состоящие (состоявшие) с НКО в договорных и иных гражданскоправовых отношениях, кандидаты на замещение вакантных должностей, а также родственники работников НКО; 

- физические лица - участники НКО, члены органов управления и контроля за деятельностью НКО;

- физические лица, обратившиеся в НКО с целью получения информации или заключения договора; 

- иные физические лица, чьи персональные данные обрабатываются НКО в соответствии с требованиями законодательства Российской Федерации; 

- физические лица - представители, правопреемники, выгодоприобретатели, бенефициарные владельцы вышеперечисленных лиц. 

4.4. В зависимости от субъекта персональных данных НКО обрабатывает персональные данные следующих категорий субъектов персональных данных:

- персональные данные работника (информация, необходимая НКО в связи с трудовыми или гражданско-правовыми отношениями и касающаяся конкретного работника), кандидата на замещение вакантной должности, родственников работника; 

- персональные данные физических лиц - участников НКО, членов органов управления и контроля за деятельностью НКО (информация, необходимая НКО для отражения в отчётных документах о деятельности НКО в соответствии с требованиями федеральных законов, нормативных документов Банка России и иных нормативных правовых актов); 

- персональные данные клиента, а также персональные данные руководителя, участника (акционера) или работника (сотрудника) юридического лица, являющегося клиентом НКО (информация, необходимая НКО для выполнения своих обязательств в рамках договорных отношений с клиентом и для выполнения требований законодательства Российской Федерации); 

- персональные данные потенциального клиента, контрагента, партнёра, а также персональные данные руководителя, участника (акционера) или работника (сотрудника) юридического лица, являющегося потенциальным клиентом, партнёром, контрагентом (информация, необходимая НКО в целях рассмотрения вопроса о заключении договорных отношений (проведении операций и сделок с потенциальным клиентом, контрагентом, партнёром) и для выполнения требований законодательства Российской Федерации);

- персональные данные представителя (информация, необходимая НКО для выполнения своих обязательств в рамках договорных и иных отношений с представляемым лицом и для выполнения требований законодательства Российской Федерации); 

- персональные данные выгодоприобретателя (физического лица), бенефициарного владельца (информация, необходимая НКО для выполнения требований законодательства Российской Федерации); 

- персональные данные субъектов персональных данных, не состоящих в трудовых или гражданско-правовых отношениях или иных договорных отношениях с НКО, проходящих на территорию (в помещения), на которой находится НКО, а также иных субъектов, чьи персональные данные обрабатываются НКО в соответствии с требованиями законодательства Российской Федерации. 

4.5. НКО рассматривает следующие категории персональных данных, которые в зависимости от категории субъекта персональных данных могут обрабатываться или не подлежат обработке в НКО: 

4.5.1. Персональные данные первой (специальной) категории - к данной категории относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных, а также иные персональные данные, относимые действующим законодательством к специальным категориям персональных данных. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в НКО не осуществляется. Обработка сведений о состоянии здоровья субъекта персональных данных осуществляется НКО в случаях и в порядке, предусмотренных законодательством Российской Федерации; 

4.5.2. Персональные данные второй категории - к данной категории относятся биометрические персональные данные. Персональные данные этой категории могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации. Обработка биометрических персональных данных в НКО осуществляется с учётом Методических рекомендаций Банка России от 14.02.2019 N 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации; 

4.5.3. Персональные данные третьей (общей) категории - к данной категории относится любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных) и не относящаяся к специальной категории персональных данных и к обезличенным, общедоступным, биометрическим персональным данным. В НКО осуществляется обработка персональных данных этой категории в отношении всех категорий субъектов персональных данных; 

4.5.4. Персональные данные четвёртой категории - к данной категории относятся обезличенные и (или) общедоступные персональные данные. 

 

5. Организация обработки персональных данных 

 

5.1. Обработка персональных данных НКО осуществляется на основе следующих принципов:  

- законности целей и способов обработки персональных данных;  

- добросовестности НКО, как оператора персональных данных, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных;  

- соответствия состава и объема обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки;  

- точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;  

- уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления;  

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 

5.2. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

5.3. НКО осуществляет обработку персональных данных следующими способами:  

- автоматизированная обработка (производится при помощи средств вычислительной техники);  

- неавтоматизированная обработка (производителя без участия средств вычислительной техники);  

- смешанная обработка (производится как при помощи средств вычислительной техники, так и без них). 

5.4. Сроки обработки персональных данных определяются сроком действия договора с субъектом персональных данных, Трудовым кодексом Российской Федерации, приказом Федерального архивного агентства от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроком исковой давности, а также иными требованиями законодательства Российской Федерации. 

5.5. Доступ работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями внутренних документов НКО. Допущенные к обработке персональных данных работники под роспись знакомятся с документами НКО, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников. 

5.6. Обработка персональных данных в НКО осуществляется с согласия субъекта персональных данных кроме случаев, установленных законодательством Российской Федерации. 

5.7. В случае выявления неправомерной обработки персональных данных, выявления неточных персональных данных НКО осуществляет блокирование или удаление персональных данных в соответствии с положениями ст. 21 Федерального закона «О персональных данных». 

5.8. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. 

 

6. Права субъекта персональных данных 

 

6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 

- подтверждение факта обработки персональных данных оператором;  правовые основания и цели обработки персональных данных;  

- цели и применяемые оператором способы обработки персональных данных; 

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;  

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;  

- сроки обработки персональных данных, в том числе сроки их хранения;  

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;  

- информацию об осуществленной или о предполагаемой трансграничной передаче данных; НКО «Альтернатива» (ООО) Политика в отношении обработки и защиты персональных данных 11  наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;  

- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами. 

6.2. Сведения предоставляются субъекту персональных данных или его представителю НКО при обращении либо при получении запроса субъекта персональных данных или его представителя. 

Сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 

В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. 

6.3. Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, может быть ограничено в случаях, установленных Федеральным законом «О персональных данных». 

6.4. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. 

6.4.1. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором. 

6.4.2. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. 

6.4.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. 

6.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных НКО вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных». 

6.6. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 

6.7. Если субъект персональных данных считает, что НКО осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе НКО «Альтернатива» (ООО) Политика в отношении обработки и защиты персональных данных 12 обжаловать действия или бездействие НКО в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 

6.8. Субъект Персональных данных имеет также иные права, установленные главой 3 Федерального закона «О персональных данных». 

 

7. Меры НКО, направленные на обеспечение выполнения обязанности по защите персональных данных 

 

В НКО принимаются следующие меры по защите персональных данных: 

- назначение НКО ответственного за организацию обработки персональных данных; 

- издание документов в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике НКО в отношении обработки персональных данных, локальным актам НКО; 

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»; 

- ознакомление работников НКО с документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и обучение указанных работников; 

- обеспечение неограниченного доступа к документу, определяющему политику НКО в отношении обработки персональных данных; 

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; - применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; 

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; 

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных; 

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных; 

- обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. 

 

8. Заключительные положения 

 

8.1. Настоящая Политика вступает в силу с 30.03.2021 и действует до замены ее новой редакцией или отмены. 

8.2. Настоящая Политика подлежит изменению, дополнению в случае принятия новых законодательных актов по обработке и защите персональных данных, а также внесения изменений и дополнений в федеральные законы и нормативные правовые акты, указанные в пункте 2.2. Политики. 

 

8.3. Настоящая Политика является общедоступным внутренним документом НКО и подлежит размещению на официальном сайте НКО в сети Интернет.