Политика конфиденциальности

1.1. Политика в отношении обработки персональныхданныхвБюджетном учреждении Ханты-Мансийского автономного округа-Югры«Геронтологический центр» (далее - Учреждение) разработанавсоответствии с Конституцией Российской Федерации, ТрудовымкодексомРоссийской Федерации, Федеральным законом от 27.07.2006 №149-ФЗ«Обинформации, информационных технологий и о защите информации»,Федеральным законом от 27.07.2006 № 152-ФЗ «Оперсональныхданных»(далее – Федеральный закон «О персональных данных»), постановлениемПравительства Российской Федерации от 01.11.2012 №1119«Обутверждении требований к защите персональных данных приихобработкевинформационных системах персональных данных», постановлениемПравительства Российской Федерации от 15 сентября 2008 года№687«Обутверждении Положения об особенностях обработки персональныхданных,осуществляемой без использования средств автоматизации», приказомФСТЭК России от 18.02.2013 года № 21 «Об утверждениисоставаисодержания организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационныхсистемах персональных данных» и другими нормативнымиправовымиактами, регулирующими отношения, связанные с обработкойперсональныхданных.

1.2. Политика определяет порядок и условия обработкиперсональныхданных в Учреждении с использованием средств автоматизацииибезиспользования таких средств.

1.3. Политика вступает в силу с момента подписаниядиректоромучреждения.

1.4. Политика подлежит пересмотру в ходе периодическогоанализасостороны руководства Учреждения, а также в случаяхизменениязаконодательства Российской Федерации в областиобеспечениябезопасности персональных данных (далее - ПДн).

1.5. Основные понятия, используемые в Политике, соответствуютосновным понятиям, указанным в статье 3 Федерального законаРоссийскойФедерации от 27.07.2006 № 152 «О персональных данных».

1.6. Политика подлежит опубликованию на официальномсайтеУчреждения в течение 10 дней после её утверждения.

1. Обработка ПДн осуществляется Учреждением в следующихцелях:− обеспечения соблюдения законов и иных нормативныхправовыхактов, содействия в трудоустройстве, получения образования ипродвижениепо службе, обеспечения личной безопасности, контроль количестваикачества выполняемой работы и обеспечение сохранности имущества; − ведения кадрового, бухгалтерского, налогового и воинскогоучета;− размещения на общедоступных источниках персональныхданных;− предоставления гарантий и компенсаций, установленныхдействующим законодательством и локальными нормативнымиактамиУчреждения, − реализации трудовых отношений, ведения личных дел(карточек).− оказание социальных услуг. Обработка ПДн осуществляется Учреждениемна основанииследующих нормативно-правовых актов: − Трудовой кодекс Российской Федерации (Федеральныйзаконот30.12.2001 № 197-ФЗ); − Налоговый кодекс Российской Федерации (Федеральныйзаконот05.08.2000 № 117-ФЗ); − Федеральный закон «Об обязательном пенсионномстрахованиивРоссийской Федерации» от 15.12.2001 № 167-ФЗ; − Федеральный закон «О воинской обязанности и военнойслужбе»от28.03.1998 № 53-ФЗ; − Федеральный закон «О социальной защите инвалидов вРоссийскойФедерации» от 24.11.1995 № 181-ФЗ; − Федеральный закон «О безопасности дорожного движения»от10.12.1995 № 196-ФЗ; − Федеральный закон «Об индивидуальном (персонифицированном)учете в системе обязательного пенсионного страхования» от 01.04.1996№27-ФЗ;− Федеральный закон «О бухгалтерском учете» от 06.12.2011№402-ФЗ; − Постановление Правительства РФ «Об утвержденииПоложенияовоинском учете» от 27.11.2006 № 719; − Закон Ханты-Мансийского автономного округа –Югры«Огарантиях трудовой занятости инвалидов в Ханты-Мансийскомавтономномокруге - Югре» от 23.12.2004 № 89-оз; − Закон Ханты-Мансийского автономного округа –Югры«Огарантиях и компенсациях для лиц, проживающих в Ханты-Мансийскомавтономном округе - Югре, работающих в государственныхорганахигосударственных учреждениях Ханты-Мансийского автономногоокруга-Югры» от 09.12.2004 № 76-оз; − Постановление Правительства Ханты-Мансийскогоавтономногоокруга – Югры «О порядке возмещения расходов, связанных сослужебнымикомандировками, руководителям и работникам государственныхучрежденийХанты-Мансийского автономного округа - Югры» от 19.05.2008№108-п; − Устав бюджетного учреждения Ханты-Мансийскогоавтономногоокруга – Югры «Геронтологический центр» от 13.02.2015г. утвержденРаспоряжением Департамента по управлению государственнымимуществомХанты-Мансийского автономного округа – Югры от 13.02.2015г. №13-р-245с изменениями от 12.11.2018 г. (распоряжение №13-р-2259, от 15.06.2022г.№ 13-р-1359); − Положение о бюджетном учреждении Ханты-Мансийскогоавтономного округа - Югры «Геронтологический центр»; − Коллективный договор бюджетного учрежденияХанты-Мансийского автономного округа – Югры «Геронтологическийцентр»на2018-2021 годы, продленный до 11.04.2024 года (Уведомленииорегистрацииколлективного договора от 26.03.2021 г. №46-06-94/1); − Иные локальные акты Учреждения; − Согласие субъекта персональных данных

1. 3.1. В соответствии с целями обработки ПДн, указаннымивп.2.настоящей Политики, в Учреждении осуществляется обработкаследующихкатегорий субъектов персональных данных: − Сотрудников, в том числе уволенных; − Родственников сотрудников, в том числе уволенных − Получателей социальных услуг, в том числе граждане,обратившиеся в Учреждение. − Родственников получателей социальных услуг играждан,обратившихся в Учреждение 3.2. Перечень обрабатываемых ПДн утвержден приказомУчреждения.

1. 4.1. Обработка ПДн осуществляется на законной основе. 4.2. Обработка ПДн ограничивается достижением конкретных, заранееопределенных и законных целей. Не допускается обработкаПДн,несовместимая с целями сбора ПДн. 4.3. Не допускается объединение баз данных, содержащихПДн,обработка которых осуществляется в целях, несовместимых междусобой.4.4. Обработке подлежат только те ПДн, которые отвечаютцелямихобработки. 4.5. Содержание и объем ПДн соответствуют заявленнымцелямобработки. Обрабатываемые ПДн не являются избыточнымпоотношениюкзаявленным целям их обработки. 4.6. При обработке ПДн обеспечены точность ПДн, их достаточность,ав необходимых случаях и актуальность по отношениюк целямобработкиПДн. Учреждение обеспечивается принятие необходимых мерпоудалениюили уточнению неполных или неточных данных. 4.7. Хранение ПДн осуществляется в форме, позволяющейопределитьсубъекта ПДн, не дольше, чем этого требуют цели обработкиПДн, еслисрокхранения ПДн не установлен федеральным законом, договором, сторонойкоторого, выгодоприобретателем или поручителем по которомуявляетсясубъект ПДн. Обрабатываемые ПДн подлежат уничтожениюподостижениюцелей обработки или в случае утраты необходимости в достиженииэтихцелей, если иное не предусмотрено федеральным законом.

1. 5.1. Условия обработки иных категорий ПДн: 5.1.1. Обработки иных категорий ПДн осуществляется Учреждениемссоблюдением следующих условий:  обработка ПДн необходима для осуществления ивыполнениявозложенных законодательством Российской Федерации на Учреждениефункций, полномочий и обязанностей;  обработка ПДн необходима для исполнения договора, сторонойкоторого либо выгодоприобретателем или поручителемпокоторомуявляется субъект ПДн, а также для заключения договора поинициативесубъекта ПДн или договора, по которому субъект ПДн будетявлятьсявыгодоприобретателем или поручителем;  обработка ПДн осуществляется с согласия субъектаПДннаобработку его ПДн. 5.2. Условия обработки общедоступных категорий ПДн: 5.2.1. Осуществляется обработка ПДн, сделанных общедоступнымиссогласия субъекта ПДн. 5.3. Поручение обработки ПДн: 5.3.1. Учреждение вправе поручить обработку ПДн другомулицуссогласия субъекта ПДн, если иное не предусмотрено федеральнымзаконом,на основании заключаемого с этим лицом договора. 5.3.2. Лицо, осуществляющее обработку ПДн по договорусУчреждением, обязано соблюдать принципы и правила обработкиПДн,предусмотренные настоящей Политикой, соблюдать конфиденциальностьПДн, принимать необходимые меры, направленные на обеспечениевыполнения обязанностей, предусмотренных настоящей Политикой.Впоручении Учреждения определены перечень ПДн, переченьдействий(операций) с ПДн, которые будут совершаться лицом, осуществляющимобработку ПДн, цели их обработки, установлена обязанность такоголицасоблюдать конфиденциальность ПДн, требования, предусмотренныечастью5 статьи 18 и статьей 18.1. 152-ФЗ, обязанность по запросу Учреждениявтечение срока действия поручения Учреждения, в т.ч. до обработкиПДн,предоставлять документы и иную информацию, подтверждающиепринятиемер и соблюдение в целях исполнения поручения Учреждениятребований,установленных в соответствии со статьей 6 152-ФЗ, обязанностьобеспечивать безопасность ПДн при их обработке, а также указываютсятребования к защите обрабатываемых ПДн в соответствии со статьей19152- ФЗ, в т.ч. требование об уведомлении Учреждения ослучаях,предусмотренных частью 3.1. статьи 21 152-ФЗ. 5.3.3. Лицо, осуществляющее обработку ПДн попоручениюУчреждения, не обязано получать согласие субъекта ПДн на обработкуегоПДн. 5.3.4. В случае, если Учреждение поручает обработку персональныхданных другому лицу, ответственность перед субъектомперсональныхданных за действия указанного лица несет Учреждение. Лицо,осуществляющее обработку персональных данных попоручениюУчреждения, несет ответственность перед Учреждением.

1. 6.1. Сотрудники Учреждения, получившие доступ к ПДн, обязанынераскрывать третьим лицам и не распространять ПДн без согласиясубъектаПДн, если иное не предусмотрено федеральным законом

7.1. В целях информационного обеспечения УчреждениеразмещаетПДн на общедоступных источниках (информационных стендах). Сведенияосубъекте ПДн исключаются из общедоступных источниковПДнпотребованию субъекта ПДн либо по решению суда или иных уполномоченныхгосударственных органов. В общедоступные источники ПДнвключеныследующие сведения о сотрудниках: − Фамилия, имя, отчество (при наличии); − Уровень образования − Место работы; − Сведения о занимаемой должности; − Стаж работы; − Номер рабочего телефона; − Адрес рабочей электронной почты; − Фотография; − Сведения о наградах, достижениях, участии в мероприятиях.

8.1. При необходимости обеспечения условий обработкиПДнсубъектаможет предоставляться согласие субъекта ПДн на обработку егоПДн. 8.2. Субъект ПДн принимает решение о предоставленииегоПДнидаетсогласие на их обработку свободно, своей волей и в своеминтересе. Согласиена обработку ПДн должно быть конкретным, информированнымисознательным. Согласие на обработку ПДн может быть дано субъектомПДнили его представителем в любой позволяющей подтвердитьфактегополучения форме, ели иное не установлено федеральнымзаконом. Вслучаеполучения согласия на обработку ПДн от представителя субъектаПДн полномочия данного представителя на дачу согласия от именисубъектаПДнпроверяются Учреждением. 8.3. Согласие на обработку ПДн может быть отозвано субъектомПДн.В случае отзыва субъектом ПДн согласия на обработку ПДнУчреждениевправе продолжить обработку ПДн без согласия субъекта ПДнприналичииоснований, указанных в пунктах 2 - 11 части 1 статьи 6, части2статьи10ичасти 2 статьи 11 152-ФЗ. 8.4. Обязанность предоставить доказательство получениясогласиясубъекта ПДн на обработку его ПДн возлагается на Учреждение. 8.5. В случаях, предусмотренных федеральным законом, обработкаПДн осуществляется только с согласия в письменной форме субъектаПДн.Равнозначным содержащему собственноручную подпись субъектаПДнсогласию в письменной форме на бумажном носителе признаетсясогласиевформе электронного документа, подписанного в соответствиисфедеральным законом электронной подписью. Согласие в письменнойформесубъекта ПДн на обработку его ПДн должно включать в себя, в частности: фамилию, имя, отчество, адрес субъекта персональныхданных,номер основного документа, удостоверяющего его личность, сведенияодатевыдачи указанного документа и выдавшем его органе;  фамилию, имя, отчество, адрес представителясубъектаперсональных данных, номер основного документа, удостоверяющегоеголичность, сведения о дате выдачи указанного документа ивыдавшемегооргане, реквизиты доверенности или иного документа, подтверждающегополномочия этого представителя (при получении согласия от представителясубъекта персональных данных);  наименование или фамилию, имя, отчество и адресоператора,получающего согласие субъекта персональных данных;  цель обработки персональных данных;  перечень персональных данных, на обработку которыхдаетсясогласие субъекта персональных данных;  наименование или фамилию, имя, отчество иадреслица,осуществляющего обработку персональных данных по поручениюоператора,если обработка будет поручена такому лицу;  перечень действий с персональными данными, на совершениекоторых дается согласие, общее описание используемыхоператоромспособов обработки персональных данных;  срок, в течение которого действует согласиесубъектаперсональных данных, а также способ его отзыва, если иное не установленофедеральным законом;  подпись субъекта персональных данных. 8.6. В случае недееспособности субъекта ПДн согласие наобработкуего ПДн дает законный представитель субъекта ПДн. 8.7. В случае смерти субъекта ПДн согласие на обработкуегоПДндают наследники субъекта ПДн, если такое согласие не было даносубъектомПДн при его жизни. 8.8. Согласие на обработку ПДн, разрешенных субъектомПДндляраспространения, может быть предоставлено Учреждениюнепосредственноили с использованием информационной системы уполномоченногоорганапозащите прав субъектов ПДн.

9.1. Субъект ПДн имеет право на получение информации, касающейсяобработки его ПДн, в том числе содержащей:  подтверждение факта обработки ПДн Учреждением;  правовые основания и цели обработки ПДн;  цели и применяемые Учреждением способы обработкиПДн;  наименование и место нахождения Учреждения, сведенияолицах(за исключением сотрудников Учреждения), которые имеют доступкПДнили которым могут быть раскрыты ПДн на основаниидоговорасУчреждением или на основании федерального закона;  обрабатываемые ПДн, относящиеся к соответствующемусубъектуПДн, источник их получения, если иной порядок предоставлениятакихданных не предусмотрен федеральным законом;  сроки обработки ПДн, в том числе сроки их хранения;  порядок осуществления субъектом ПДн прав, предусмотренныхФедеральным законом от 27.07.2006 № 152-ФЗ «О персональныхданных»; информацию об осуществленной или о предполагаемойтрансграничной ПДн;  наименование или фамилию, имя, отчество иадреслица,осуществляющего обработку ПДн по поручениюУчреждения, еслиобработка поручена или будет поручена такому лицу;  информацию о способах исполнения Учреждениемобязанностей,установленных статьей 18.1 152-ФЗ;  иные сведения, предусмотренные Федеральнымзакономот27.07.2006 № 152-ФЗ «О персональных данных» или другимифедеральнымизаконами. 9.2. Субъект ПДн имеет право на получение сведений, указанныхвп.9.1. настоящей Политики, за исключением случаев, при которыхдоступсубъекта ПДн к его ПДн нарушает права и законные интересытретьихлиц.9.3. Субъект ПДн вправе требовать от Учреждения уточненияегоПДн,их блокирования или уничтожения в случае, если ПДн являютсянеполными,устаревшими, неточными, незаконно полученными илинеявляютсянеобходимыми для заявленной цели обработки, а также приниматьпредусмотренные законом меры по защите своих прав. 9.4. Сведения, указанные в п. 9.1. настоящей Политики, должныбытьпредоставлены субъекту ПДн Учреждением в доступной форме, ивнихнедолжны содержаться ПДн, относящиеся к другим субъектамПДн,заисключением случаев, если имеются законные основания дляраскрытиятаких ПДн.Сведения, указанные в п. 9.1. настоящейПолитики,предоставляются субъекту ПДн или его представителюУчреждениемвтечение 10 (десяти) рабочих дней с момента обращения либополученияУчреждением запроса субъекта ПДн или его представителя. Указанныйсрокможет быть продлен, но не более чем на 5 рабочих днейвслучаенаправления Учреждением в адрес субъекта ПДн мотивированногоуведомления с указанием причин продления срока предоставлениязапрашиваемой информации. Запрос должен содержать номеросновногодокумента и выдавшем его органе, сведения, подтверждающиеучастиесубъекта ПДн в отношениях с Учреждением (номер договора, датазаключения договора, условное словесное обозначение и(или)иныесведения), либо сведения, иным образом подтверждающие фактобработкиПДн Учреждением, подпись субъекта ПДн или его представителя. Запросможет быть направлен в форме электронного документа иподписанэлектронной подписью в соответствии с законодательствомРоссийскойФедерации. Учреждение предоставляет сведения, указанные впункте9.1Политики, субъекту ПДн или его представителю в той форме, вкоторойнаправлены соответствующие обращение либо запрос, если иное неуказановобращении или запросе. 9.5. В случае, если сведения, указанные в п. 9.1. настоящейПолитики,атакже обрабатываемые ПДн были предоставлены для ознакомлениясубъектуПДн по его запросу, субъект ПДн вправе обратиться повторно кУчреждениюили направить ему повторный запрос в целях получения сведений, указанныхв п. 9.1. настоящей Политики, и ознакомления с такими ПДннеранеечемчерез 30 дней после первоначального обращения илинаправленияпервоначального запроса, если более короткий срок не установленфедеральным законом, принятым в соответствии с нимнормативнымправовым актом или договором, стороной котороголибовыгодоприобретателем или поручителем по которому является субъектПДн.9.6. Субъект ПДн вправе обратиться повторно к Учреждениюилинаправить ему запрос в целях получения сведений, указанныхвп. 9.1.настоящей Политики, а также в целях ознакомления с обрабатываемымиПДндо истечения срока, указанного в п. 9.5. настоящей Политики, вслучае, еслитакие сведения и (или) обрабатываемы ПДн не были предоставленыемудляознакомления в полном объеме по результатамрассмотренияпервоначального обращения. Повторный запрос наряду с необходимойдлязапроса информацией должен содержать основание направленияповторногозапроса. 9.7. Учреждение вправе отказать субъекту ПДн в выполненииповторного запроса, несоответствующего условиям повторногозапроса. Такой отказ должен быть мотивированным. Обязанность предоставлениядоказательств обоснованности отказа в выполнении повторногозапросалежит на Учреждении. 9.8. Формы запросов субъектов персональных данныхилиихпредставителей и уполномоченного органа по защите правсубъектовперсональных представлены в приложении к настоящей Политике. 10. Право на обжалование действий или бездействийУчреждения10.1. Если субъект ПДн считает, что Учреждение осуществляетобработку его ПДн с нарушением требований Федеральногозаконаот27.07.2006 № 152-ФЗ «О персональных данных» или инымобразомнарушаетего права и свободы, субъект ПДн вправе обжаловать действияилибездействия Учреждения в уполномоченный орган по защите правсубъектовперсональных данных (Роскомнадзор) или в судебном порядке. 10.2. Субъект ПДн имеет право на защиту своих правизаконныхинтересов, в том числе на возмещение убытков и (или) компенсациюморального вреда в судебном порядке.

10.1. Если субъект ПДн считает, что Учреждение осуществляетобработку его ПДн с нарушением требований Федеральногозаконаот27.07.2006 № 152-ФЗ «О персональных данных» или инымобразомнарушаетего права и свободы, субъект ПДн вправе обжаловать действияилибездействия Учреждения в уполномоченный орган по защите правсубъектовперсональных данных (Роскомнадзор) или в судебном порядке. 10.2. Субъект ПДн имеет право на защиту своих правизаконныхинтересов, в том числе на возмещение убытков и (или) компенсациюморального вреда в судебном порядке.

11.1. При сборе ПДн Учреждение обязано предоставить субъектуПДнпо его просьбе информацию, предусмотренную в пункте 9.1 Политики. 11.2. Если предоставление ПДн является обязательнымв соответствиис федеральным законом, Учреждение обязано разъяснить субъектуПДнюридические последствия отказа предоставить его ПДн и (или) датьсогласиена их обработку. 11.3. Если ПДн получены не от субъекта ПДн, Учреждение,заисключением случаев, предусмотренных пункте 9.2 Политики, доначалаобработки таких ПДн обязано предоставить субъекту ПДнследующуюинформацию: 11.3.1. Наименование либо фамилия, имя, отчество и адрес Учрежденияили его представителя. 11.3.2. Цель обработки ПДн и ее правовое основание. 11.3.3. Перечень ПДн. 11.3.4. Предполагаемые пользователи ПДн. 11.3.5. Установленные Законом № 152-ФЗ права субъекта ПДн. 11.3.6. Источник получения ПДн. 11.4. Учреждение освобождается от обязанностипредоставитьсубъекту ПДн сведения, предусмотренные пункте 9.1 Политики, вслучаях,если: 11.4.1. Субъект ПДн уведомлен об осуществлении обработкиегоПДнУчреждением. 11.4.2. ПДн получены Учреждением на основании федеральногозаконаили в связи с исполнением договора, стороной котороголибовыгодоприобретателем или поручителем, по которому является субъектПДн. 11.4.3. Обработка ПДн, разрешенных субъектомПДндляраспространения, осуществляется с соблюдением запретовиусловий,предусмотренных статьей 10.1 152-ФЗ. 11.4.4. Учреждение осуществляет обработку ПДн для статистическихили иных исследовательских целей, для осуществления профессиональнойдеятельности журналиста либо научной, литературной или инойтворческойдеятельности, если при этом не нарушаются права и законныеинтересысубъекта ПДн; 11.4.5. Предоставление субъекту ПДн сведений, предусмотренныхпункте 9.1 Политики, нарушает права и законные интересытретьихлиц. 11.4.6. При сборе ПДн, в том числе посредствоминформационно-телекоммуникационной сети «Интернет», обеспечитьзапись,систематизацию, накопление, хранение, уточнение (обновление, изменение),извлечение ПДн граждан Российской Федерации с использованиембазданных, находящихся на территории Российской Федерации, за исключениемслучаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 152-ФЗ. 11.4.7. Сообщить в порядке, предусмотренном ст. 14 152-ФЗ, субъектуПДн или его представителю информацию о наличии ПДн, относящихсяксоответствующему субъекту ПДн, а также предоставить возможностьознакомления с этими ПДн при обращении субъекта ПДнилиегопредставителя либо в течение 10 (десяти) рабочих дней с датыполучениязапроса субъекта ПДн или его представителя. Указанный срокможетбытьпродлен, но не более чем на 5 рабочих дней в случае направленияУчреждением в адрес субъекта ПДн мотивированного уведомлениясуказанием причин продления срока предоставления запрашиваемойинформации. 11.4.8. В случае отказа в предоставлении информации о наличииПДносоответствующем субъекте ПДн или ПДн субъекту ПДнилиегопредставителю при их обращении либо при получении запроса субъектаПДнили его представителя дать в письменной форме мотивированныйответ,содержащий ссылку на положение ч. 8 ст. 14 152-ФЗ или иногофедеральногозакона, являющееся основанием для такого отказа, в срок, не превышающий10 (десяти) рабочих дней со дня обращения субъекта ПДнилиегопредставителя либо с даты получения запроса субъекта ПДнилиегопредставителя. Указанный срок может быть продлен, но не болеечемна5рабочих дней в случае направления оператором в адрес субъектаПДнмотивированного уведомления с указанием причин продлениясрокапредоставления запрашиваемой информации. 11.4.9. Предоставить безвозмездно субъекту ПДнилиегопредставителю возможность ознакомления с ПДн, относящимисякэтомусубъекту ПДн. В срок, не превышающий 7 рабочих днейсодняпредоставления субъектом ПДн или его представителемсведений,подтверждающих, что ПДн являются неполными, неточнымиилинеактуальными, внести в них необходимые изменения. Всрок, непревышающий 7 рабочих дней со дня представления субъектомПДнилиего представителем сведений, подтверждающих, что такие ПДнявляютсянезаконно полученными или не являются необходимыми длязаявленнойцели обработки, уничтожить такие ПДн. Уведомить субъекта ПДнилиегопредставителя о внесенных изменениях и предпринятых мерахипринятьразумные меры для уведомления третьих лиц, которым ПДнэтогосубъектабыли переданы. 11.4.10. Сообщить в уполномоченный орган по защите правсубъектовПДн по запросу этого органа необходимую информациюв течение10(десяти)рабочих дней с даты получения такого запроса. Указанный срокможетбытьпродлен, но не более чем на 5 рабочих дней в случае направленияУчреждением в адрес уполномоченного органа по защите правсубъектовПДн мотивированного уведомления с указанием причин продлениясрокапредоставления запрашиваемой информации. 11.4.11. В случае выявления неправомерной обработкиПДнприобращении субъекта ПДн или его представителя либо по запросусубъектаПДн или его представителя, либо уполномоченного органа позащитеправсубъектов ПДн осуществить блокирование неправомерно обрабатываемыхПДн, относящихся к этому субъекту ПДн, или обеспечить ихблокирование(если обработка ПДн осуществляется другим лицом, действующимпопоручению Учреждения) с момента такого обращения илиполученияуказанного запроса на период проверки. В случае выявления неточныхПДнпри обращении субъекта ПДн или его представителя либо по ихзапросуилипо запросу уполномоченного органа по защите прав субъектовПДносуществить блокирование ПДн, относящихся к этому субъектуПДн, илиобеспечить их блокирование (если обработка ПДн осуществляетсядругимлицом, действующим по поручению Учреждения) с моментатакогообращения или получения указанного запроса на период проверки, еслиблокирование ПДн не нарушает права и законные интересысубъектаПДнили третьих лиц. 11.4.12. В случае подтверждения факта неточности ПДннаоснованиисведений, представленных субъектом ПДн или его представителемлибоуполномоченным органом по защите прав субъектов ПДн, илииныхнеобходимых документов уточнить ПДн либо обеспечить их уточнение(еслиобработка ПДн осуществляется другим лицом, действующимпопоручениюУчреждения) в течение 7 рабочих дней со дня представления такихсведенийи снять блокирование ПДн. 11.4.13. В случае выявления неправомерной обработкиПДн,осуществляемой Учреждением или лицом, действующимпопоручениюУчреждения, в срок, не превышающий 3 рабочих днейс датыэтоговыявления, прекратить неправомерную обработку ПДн илиобеспечитьпрекращение неправомерной обработки ПДн лицом, действующимпопоручению Учреждения. В случае, если обеспечить правомерностьобработки ПДн невозможно, Учреждение в срок, не превышающий10рабочих дней с даты выявления неправомерной обработки ПДн, уничтожитьтакие ПДн или обеспечить их уничтожение. Об устранениидопущенных нарушений или об уничтожении ПДн уведомить субъекта ПДнилиегопредставителя, а в случае, если обращение субъекта ПДнилиегопредставителя либо запрос уполномоченного органа по защитеправсубъектов ПДн были направлены уполномоченным органомпозащитеправсубъектов ПДн, также указанный орган. 11.4.14. В случае установления факта неправомернойилислучайнойпередачи (предоставления, распространения, доступа) ПДн, повлекшейнарушение прав субъектов ПДн, с момента выявления такогоинцидентаУчреждением, уполномоченным органом по защите прав субъектовПДнилииным заинтересованным лицом уведомить уполномоченный органпозащитеправ субъектов ПДн: 1) в течение 24 часов о произошедшем инциденте, о предполагаемыхпричинах, повлекших нарушение прав субъектов ПДн, и предполагаемомвреде, нанесенном правам субъектов ПДн, о принятых мерах поустранениюпоследствий соответствующего инцидента, а также предоставитьсведенияолице, уполномоченном Учреждением на взаимодействие с уполномоченныморганом по защите прав субъектов ПДн, по вопросам, связаннымсвыявленным инцидентом; 2) в течение 72 часов о результатах внутреннего расследованиявыявленного инцидента, а также предоставить сведения о лицах, действиякоторых стали причиной выявленного инцидента (при наличии). 11.4.15. В случае достижения цели обработки ПДнпрекратитьобработку ПДн или обеспечить ее прекращение (если обработкаПДносуществляется другим лицом, действующим по поручениюУчреждения)иуничтожить ПДн или обеспечить их уничтожение (если обработкаПДносуществляется другим лицом, действующим по поручениюУчреждения)всрок, не превышающий 30 дней с даты достижения цели обработкиПДн,если иное не предусмотрено договором, сторонойкоторого,выгодоприобретателем или поручителем по которому является субъектПДн,иным соглашением между Учреждением и субъектомПДнлибоеслиУчреждение не вправе осуществлять обработку ПДн без согласиясубъектаПДн на основаниях, предусмотренных 152-ФЗ или другимифедеральнымизаконами. 11.4.16. В случае отзыва субъектом ПДн согласия на обработкуегоПДн прекратить их обработку или обеспечить прекращение такойобработки(если обработка ПДн осуществляется другим лицом, действующимпопоручению Учреждения) и в случае, если сохранение ПДн более нетребуетсядля целей обработки ПДн, уничтожить ПДн или обеспечить ихуничтожение(если обработка ПДн осуществляется другим лицом, действующимпопоручению Учреждения) в срок, не превышающий 30 днейсдатыпоступления указанного отзыва, если иное не предусмотренодоговором,стороной которого, выгодоприобретателем или поручителемпокоторомуявляется субъект ПДн, иным соглашением между УчреждениемисубъектомПДн либо если Учреждение не вправе осуществлять обработкуПДнбез согласия субъекта ПДн на основаниях, предусмотренных152-ФЗилидругими федеральными законами. 11.4.17. В случае обращения субъекта ПДн к Учреждениюстребованием о прекращении обработки ПДн в срок, не превышающий10рабочих дней с даты получения Учреждением соответствующеготребования,прекратить их обработку или обеспечить прекращение такой обработки(еслитакая обработка осуществляется лицом, осуществляющимобработкуПДн),за исключением случаев, предусмотренных пунктами 2 - 11 части1статьи6,частью 2 статьи 10 и частью 2 статьи 11 152-ФЗ. Указанный срокможетбытьпродлен, но не более чем на 5 рабочих дней в случае направленияУчреждением в адрес субъекта ПДн мотивированного уведомлениясуказанием причин продления срока предоставления запрашиваемойинформации. 11.4.18. В случае отсутствия возможности уничтожения ПДнвтечениесрока, указанного в ч. 3 - 5 ст. 21 152-ФЗ, осуществляет блокированиетакихПДн или обеспечивает их блокирование (если обработкаПДносуществляется другим лицом, действующим по поручениюУчреждения)иобеспечивает уничтожение ПДн в срок не более чем 6 месяцев, еслиинойсрок не установлен федеральными законами. 11.4.19. В срок не позднее 3 рабочих дней с моментаполучениясоответствующего согласия субъекта ПДн опубликовать информациюобусловиях обработки и о наличии запретов и условийнаобработкунеограниченным кругом лиц ПДн, разрешенных субъектомПДндляраспространения. 11.4.20. Обеспечивать взаимодействие с государственнойсистемойобнаружения, предупреждения и ликвидации последствийкомпьютерныхатак на информационные ресурсы Российской Федерации, включаяинформирование его о компьютерных инцидентах, повлекшихнеправомерную передачу (предоставление, распространение, доступ)персональных данных.

12.1. Назначен ответственный за организациюобработкиПДн. 1.1. Изданы документы, определяющие политику Учреждениявотношении обработки ПДн, локальные акты по вопросамобработкиПДн,определяющих для каждой цели обработки ПДн категорииипереченьобрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются,способы, сроки их обработки и хранения, порядок уничтоженияПДнпридостижении целей их обработки или при наступлении иныхзаконныхоснований, а также локальных актов, устанавливающие процедуры,направленные на предотвращение и выявление нарушений законодательстваРоссийской Федерации, устранение последствий таких нарушений. Такиедокументы и локальные акты не содержат положения, ограничивающие права субъектов ПДн, а также возлагающие на Учреждениенепредусмотренные законодательством Российской Федерацииполномочияиобязанности. 12.2. Применяются правовые, организационные и техническиемерыпообеспечению безопасности ПДн. 12.3. Утверждены правила проведения внутреннегоконтролясоответствия обработки ПДн требованиям Федеральногозаконаот27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствиисним нормативных правовых актов, настоящей Политике, локальныхактовУчреждения. 12.4. Проведено ознакомление работников, непосредственноосуществляющих обработку ПДн, с положениями законодательстваРоссийской Федерации о ПДн, в том числе, документами, определяющимиполитику Учреждения в отношении обработки ПДн, локальнымиактамиповопросам обработки ПДн.

13.1. Определены угрозы безопасности ПДн при ихобработкевИСПДн. 13.2. Применяются организационные и технические мерыпообеспечению безопасности ПДн при их обработке в ИСПДн, необходимыедля выполнения требований к защите ПДн. 13.3. Применяются прошедшие в установленном порядкепроцедуруоценки соответствия средства защиты информации. 13.4. Ведется учет машинных носителей ПДн. 13.5. Выполняются меры по обнаружениюфактовнесанкционированного доступа к ПДн и принятию соответствующихмер.13.6. Определен комплекс мер по восстановлениюПДн,модифицированных или уничтоженных вследствие несанкционированногодоступа к ним. 13.7. Установлены правила доступа к ПДн, обрабатываемымвИСПДн,обеспечена регистрация и учет всех действий, совершаемых с ПДнвИСПДн.13.8. При передаче (подготовке к передаче) ПДн по каналамсвязи,имеющим выход за пределы контролируемой зоны, защита отраскрытия,модификации или навязывания (ввода ложной информации) осуществляетсяпутем применения в соответствии с законодательствомРоссийскойФедерации средств криптографической защиты информации. 13.9. Для исключения несанкционированного просмотраПДннаустройствах вывода (отображения, печати) информации, как из-запределовконтролируемой зоны, так и в пределах контролируемойзоны, ихнеразмещают напротив оконных проемов, входных дверей, в коридорах, холлахи иных местах, доступных для несанкционированного просмотра. 13.10. Осуществляется выявление, анализ и устранение уязвимостейИСПДн на этапах создания и эксплуатации ИСПДн. Такиепроверки проводятся с периодичностью один раз в месяц, с учетомтого, чтодлякритических уязвимостей проводятся обязательные проверкивслучаеопубликования в общедоступных источниках информациионовыхуязвимостях в средствах защиты информации, техническихсредствахипрограммном обеспечении, применяемом в ИСПДн. Привыявленииуязвимости составляется отчет и разрабатывается план по их устранению.13.11. Осуществляется непрерывный контроль за принимаемымимерами по обеспечению безопасности ПДн и уровнемзащищенностиперсональных данных. 13.12. Проводятся работы по оценке эффективности принимаемыхмерпо обеспечению безопасности ПДн до ввода в эксплуатациюИСПДн.