«УТВЕРЖДАЮ»
Директор БСИ ДВО РАН
Крестов П.В.
ПОЛИТИКА
в отношении обработки персональных данных
в Ботаническом саду-институте Дальневосточного отделения Российской академии наук
(проект)
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
1.2. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Ботаническом саду-институте Дальневосточного отделения Российской академии наук (далее – Оператор, Учреждение), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
1.4. Политика применяется к отношениям, возникшим как до, так и после утверждения, в части прав и обязанностей, возникающих после ее утверждения.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на официальном сайте Оператора в специальном разделе «Политика обработки персональных данных».
2. Основные понятия, используемые в Политике
В настоящей Политике используются следующие основные понятия:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (Оператор) - Ботанический сад-институт Дальневосточного отделения Российской академии наук (БСИ ДВО РАН, ИНН 2539010370, ОГРН 1022502122532 от 10.11.2002, г. Владивосток ул. Маковского 142), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка включает в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
сайт Оператора – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» по адресу: https://www.botsad.ru/(по адресу, указанному на официальном сайте).
3. Правовые основания и цели обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон от 23.08.1996 № 127-ФЗ «О науке и государственной научно-технической политике»;
иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
устав Учреждения;
договоры, заключаемые между Оператором и субъектами персональных данных;
согласия субъектов персональных данных на обработку их персональных данных.
3.3. Оператор осуществляет обработку персональных данных в следующих целях:
осуществления возложенных на Учреждение функций, полномочий и обязанностей в соответствии с законодательством Российской Федерации, в том числе выполнения государственного задания, оказания услуг (выполнения работ) в рамках уставной деятельности, а также ведения научной деятельности (проведение научных исследований с использованием обезличенных данных, организация экспедиций и т.д.);
регулирования трудовых отношений с работниками Учреждения (кадровое и бухгалтерское обеспечение, содействие в трудоустройстве, обучении и продвижении по службе);
осуществления гражданско-правовых отношений с контрагентами (физическими и юридическими лицами);
исполнения обязанностей Оператора, предусмотренных законодательством о персональных данных;
формирования статистических и аналитических отчетов в соответствии с Уставом и законодательством РФ, при условии обезличивания персональных данных;
обеспечения функционирования сайта Оператора, включая обработку запросов и обращений пользователей сайта.
4. Категории субъектов персональных данных
Оператор обрабатывает персональные данные следующих категорий субъектов:
работники и бывшие работники Учреждения, а также члены их семей (данные, необходимые для соцпакета: пособия, страхование, налоговые вычеты и др.);
участников научных и образовательных программ;
кандидаты на замещение вакантных должностей (соискатели);
физические лица, состоящие с Учреждением в гражданско-правовых отношениях (контрагенты – исполнители, подрядчики, поставщики);
физические лица – получатели услуг Учреждения (например, участники научных конференций, семинаров, слушатели курсов);
физические лица, взаимодействующие с Учреждением через официальный сайт (пользователи сайта).
5. Объем и категории обрабатываемых персональных данных
5.1. Состав и объем обрабатываемых персональных данных определяются в соответствии с заявленными целями обработки, предусмотренными разделом 3 настоящей Политики, и законодательством Российской Федерации.
5.2. Обработка Оператором биометрических персональных данных и специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) - осуществляется только в случаях, предусмотренных законодательством РФ (например, в целях обеспечения безопасности, исполнения трудового законодательства, с письменного согласия субъекта), либо обработка таких данных производится в обезличенном виде.
5.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и не допускает обработки избыточных персональных данных.
6. Порядок и условия обработки персональных данных
6.1. Обработка персональных данных Оператором осуществляется следующими способами:
с использованием средств автоматизации;
без использования средств автоматизации (на бумажных носителях).
6.2. Обработка персональных данных Оператором осуществляется на основе следующих принципов:
законности и справедливой основы;
ограничения обработки достижением конкретных, заранее определенных и законных целей;
соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
обеспечения точности, достаточности и актуальности персональных данных;
уничтожения либо обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
6.3. Оператор вправе поручить обработку персональных данных другому лицу на основании договора (поручения) в порядке, установленном ст. 6 Федерального закона № 152-ФЗ.
6.4. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
6.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором.
7. Актуализация, исправление, удаление и уничтожение персональных данных
7.1. Подтверждение факта обработки персональных данных Оператором, порядок доступа к персональным данным субъектов персональных данных, а также порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований устанавливаются локальными нормативными актами Оператора.
7.2. В случае выявления неточных персональных данных или неправомерности их обработки, Оператор осуществляет блокирование таких персональных данных на период проверки.
7.3. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, Оператор прекращает обработку персональных данных и уничтожает их в срок, не превышающий 30 дней с даты достижения цели обработки или наступления иного основания.
8. Сведения о реализуемых требованиях к защите персональных данных
8.1. Реализуемые требования к защите персональных данных устанавливаются локальными нормативными актами Оператора.
8.2. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных включают в себя:
определение угроз безопасности персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных;
оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
обнаружение фактов несанкционированного доступа;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным.
9. Заключительные положения
9.1. Контроль за исполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных, назначаемым в соответствии с локальными нормативными актами.
9.2. Ответственность за нарушение требований законодательства Российской Федерации и локальных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
9.3. Настоящая Политика подлежит актуализации в случае изменения законодательства Российской Федерации о персональных данных, а также может быть изменена Оператором в иных случаях по своему усмотрению.
9.4. Вопросы, не урегулированные настоящей Политикой, регулируются законодательством Российской Федерации в области персональных данных.
10. Обработка персональных данных с использованием сети Интернет, файлов cookie и сторонних сервисов
10.1. Оператор использует файлы cookie. Файлы cookie не являются средством идентификации личности пользователя.
10.2. На Сайте могут использоваться следующие типы cookie:
технически необходимые – обеспечивают корректную работу Сайта, его функциональность и безопасность;
аналитические (статистические) – используются для сбора данных о посещаемости, действиях пользователей на Сайте с целью улучшения структуры и содержания ресурса. Такие cookie могут обрабатываться как Оператором, так и уполномоченными третьими лицами (например, сервисами статистики).
10.3. В целях анализа посещаемости и улучшения работы Сайта Оператор может использовать сторонние сервисы аналитики (например, Яндекс.Метрика и аналогичные), которые обрабатывают данные обезличенно. Перечень используемых сторонних сервисов может быть изменён Оператором в одностороннем порядке, актуальная информация о них размещается на Сайте.
10.4. Обработка персональных данных, полученных через Сайт с использованием cookie и сторонних сервисов, осуществляется на основании согласия пользователя, выраженного в форме действий по использованию Сайта, продолжению работы на нём (на сайте размещено всплывающее уведомление о cookie с возможностью принятия/отказа, чтобы подтвердить наличие согласия пользователя), а также через настройки браузера, позволяющие принять или заблокировать cookie.
10.5. Пользователь может в любое время отозвать согласие на обработку данных с помощью cookie, изменив настройки своего браузера (отключить приём cookie, удалить сохранённые cookie). В этом случае некоторые функции Сайта могут стать недоступными, а работа с Сайтом – затруднённой.
10.6. Информация, собираемая с использованием cookie и сторонних сервисов аналитики, не передаётся третьим лицам в целях, не связанных с обеспечением функционирования и развития Сайта, и не используется для идентификации конкретных пользователей без их дополнительного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации.
