Политика муниципального спортивного автономного учреждения г Кемерово «Стадион Химик» в области обработки и защиты персональных данных

1. Общие сведения

1.1. Настоящая политика в области обработки и защиты персональных данных в муниципальном спортивном автономном учреждении г. Кемерово «Стадион Химик» (далее Оператор) разработана в целях обеспечения реализации требований законодательства в области обработки персональных данных.
1.2. Политика раскрывает категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки персональных данных;права и обязанности
Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности
персональных данных при их обработке.
1.3. Настоящая политика является общедоступным документом, декларирующим основы деятельности Оператора при обработке персональных данных.


2. Информация об Операторе

Наименование: Муниципальное спортивное автономное учреждение г. Кемерово «Стадион Химик» ИНН: 4207000928
Адрес местонахождения: г. Кемерово, ул. Кирова, 41. Почтовый адрес: 650000, г. Кемерово, ул. Кирова, 41 Тел./ факс: (384 2) 36-02-24
E-mail: himik-bandy2007@yandex.ru
Интернет-страница: http://www.stadion-himik.ru/
Регистрационный номер в реестре операторов, осуществляющих обработку персональных данных: 42-21-003913, Приказ № 18 от 28.01.2021.


3. Правовые основания обработки персональных данных

3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими законодательными и нормативно правовыми актами РФ:
3.1.1. Конституция Российской Федерации.
3.1.2. Трудовой кодекс Российской Федерации.
3.1.3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3.1.4. Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации» от 02.05.2006 № 59-ФЗ.
3.1.5. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" -
3.1.6. Федеральный закон от 6 марта 2006 г. N 35-ФЗ "О противодействии терроризму"
3.1.7. Постановление Правительства РФ от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без
использования средств автоматизации».
3.1.8. Постановление Правительства РФ от 15 января 2007 г. N 9 "О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации"
3.1.9. Постановление Правительства РФ от 9 октября 2015 г. N 1085 "Об утверждении Правил предоставления гостиничных услуг в Российской Федерации" Постановление
Правительства РФ от 05.01.2015 N 4 "Об утверждении Правил формирования, ведения и использования базового государственного информационного ресурса регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации".
3.1.10. Постановление Правительства РФ от 17 июля 1995 г. N 713 "Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации".
3.1.11. Постановление Правительства РФ от 06.03.2015 N 202 "Об утверждении требований к антитеррористической защищенности объектов спорта и формы паспорта
безопасности объектов спорта»
3.2. Во исполнение настоящей Политики директором Оператора утверждены следующие локальные нормативные правовые акты:
3.2.1. Положение о защите персональных данных работников МСАУ г. Кемерово «Стадион Химик»
3.2.2. Установлен список лиц, имеющих доступ к персональным данным МСАУ г. Кемерово «Стадион Химик» в рамках исполнения своих должностных обязанностей.
3.2.3. Назначен сотрудник ответственный за организацию обработки персональных данных.


4. Цели обработки персональных данных

4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
4.1.1. Ведение кадровой работы в МСАУ г. Кемерово «Стадион Химик».
4.1.2. Предоставление Оператором физкультурно-оздоровительных услуг и услуг проката.
4.1.3. С целью получения услуг от физических лиц по гражданско-правовым договорам для ведения уставной деятельности Оператора.


5. Категории субъектов, персональные данные которых обрабатываются

5.1. Работники Оператора.
5.2. Контрагенты - физические лица, оказывающие услуги/ работы Оператору по гражданско-правовому договору;
5.3. Партнёры -физические лица, находящиеся в здании МСАУ г. Кемерово «Стадион Химик» без договорных отношений, в т.ч. арендаторы и пользователи услуг арендаторов.


6. Основные принципы обработки персональных данных

6.1. Оператор в своей деятельности по обработке персональных данных руководствуется следующими принципами:
6.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.
6.1.2. Цели обработки персональных данных соответствуют полномочиям МСАУ r. Кемерово «Стадион Химик»
6.1.3. Содержание и объем обрабатываемых персональных данных соответствует целям обработки персональных данных.
6.1.4. Достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость
обработки избыточных по отношению к целям сбора персональных данных.
6.1.5. Ограничение обработки персональных данных при достижении конкретных и законных целей, запретом обработки персональных данных, несовместимых с целями сбора персональных данных.
6.1.6. Запрета объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.1.7. Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
6.1.8. Срок обработки и хранения персональных данных осуществляется Оператором до достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным оглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных
настоящим Федеральным законом или другими федеральными законами.
6.1.9. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных
данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. Персональные данные уничтожаются при достижении максимальных сроков
хранения документов, содержащих персональные данные в течение 30 дней, а в случае предоставления субъектом персональных данных (его законным представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение 7 рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
6.1.10. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора МСАУ r. Кемерово «Стадион Химик»
6.1.11. Документами, подтверждающими уничтожение персональных данных субъектов персональных данных в соответствии с Приказом Роскомнадзора от 28.10.2022 г. №179 «Об утверждении Требований к подтверждению уничтожения персональных данных» являются акт об уничтожении персональных данных, и Акт выгрузки из журнала регистрации событий в информационной системе персональных данных.
6.1.12. Акт об уничтожении персональных данных и Акт выгрузки из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
6.1.13. При уничтожении персональных данных Субъекта персональных данных работники Оператора не могут получить доступ к персональным данным.
6.1.14. Персональные данные в системе Оператора и восстановлению не подлежат.
6.1.15. Операция уничтожения персональных данных необратима.


7. Меры по обеспечению безопасности персональных данных при их обработке

7.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
7.1.1. Назначением ответственного за организацию обработки персональных данных.
7.1.2. Утверждением Директором МСАУ г. Кемерово «Стадион Химик» локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

8.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право
обратиться к Оператору, который рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
8.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.


9. Процедуры, направленные на предотвращение и выявление нарушения законодательства о персональных данных

9.1. Сведения о персональных данных субъекта персональных данных, являются конфиденциальными.
9.2. Оператор обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьими лицами без·согласия субъекта персональных данных либо наличия иного законного основания.
9.3. Лица, имеющие доступ к персональным данным субъектов персональных данных, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
9.4. Все меры конфиденциальности при сборе, обработке, хранении, уничтожении персональных данных субъектов персональных данных распространяются на все носители информации.
9.5. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
9.6. Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
9.7. Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.
9.8. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его законного представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его законным представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.9. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его законного представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
9.10. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
9.11. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
9.12. Учет машинных носителей персональных данных.
9.13. Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
9.14. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9.15. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9.16. Обеспечение взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.
9.18. Организация рассмотрения запросов субъектов персональных данных или их законных представителей и ответов на такие запросы.
9.19. Блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим
законодательством случаях.
9.20. Оповещение субъектов персональных данных в предусмотренных действующим законодательством случаях.
9.21. Разъяснение прав субъектам персональных данных в вопросах обработки и обеспечения безопасности персональных данных.


10. Процедуры, направленные на устранение последствий нарушений

10.1. Уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;
10.2. Представлять субъектов персональных данных по их просьбе или их законным представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством Российской Федерации.
10.3. Прекращение неправомерной обработки персональных данных или обеспечение прекращения неправомерной обработки персональных данных лицом, действующим по поручению Организации, в случае выявления неправомерной обработки персональных данных, осуществляемой Организацией или лицом, действующим по
, поручению Организации, Организация, в срок, не превышающий трех рабочих дней с момента такого выявления;
10.4. В случае если обеспечить правомерность обработки персональных данных невозможно -уничтожение таких персональных данных или обеспечение их уничтожения, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных;
10.5. Уведомление субъекта персональных данных или его законного представителя об устранении допущенных нарушений или об уничтожении персональных данных, а в случае, если обращение субъекта персональных данных или его законного представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанного органа;
10.6. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами;
10.7. Уведомление о факте уничтожения субъекта персональных данных и, в случае если уничтожение произведено по запросу уполномоченного органа, указанного органа, после уничтожения персональных данных;
10.8. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.9. Информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.


11. Контактная информация

11.1. Телефон для связи по вопросам связанным с персональными данными муниципального спортивного автономного учреждения г. Кемерово «Стадион Химик»: +7(3842) 36-02-24.


12. Заключительные положения

12.1. Настоящая Политика утверждается Директором МСАУ г. Кемерово «Стадион Химик».
12.2. Политика, по мере внесения изменений в нормативны правовые акты, подлежит пересмотру, с целью актуализации находящейся в ней информации. Пересмотренная политика утверждается Директором МСАУ г. Кемерово «Стадион Химик».
12.3. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех сотрудников МСАУ г. Кемерщю «Стадион Химик». Контроль за соблюдением Политики осуществляет директор МСАУ г. Кемерово «Стадион Химик».