Политика обработки персональных данных в АНО «Казань Экспо»



1 ОБЩИЕ ПОЛОЖЕНИЯ

Политика обработки персональных данных в АНО «Казань Экспо» (далее - Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности в АНО «Казань Экспо» (далее - Общество, оператор) с целью защиты прав субъектов персональных данных при обработке их персональных данных.

В настоящей Политике используются следующие термины и определения:
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор - Общество, осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
работник Общества - физическое лицо, состоящее или состоявшее с Обществом в трудовых отношения;
АНО «Казань Экспо» - Автономная некоммерческая организация "Центр развития и поддержки конгрессно-выставочных, культурных, зрелищно-развлекательных, спортивно-массовых и социально-ориентированных мероприятий "Казань Экспо".

2 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в Обществе осуществляется на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее
определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка
которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их
обработки;
- содержание и объем обрабатываемых персональных данных соответствуют
заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных,
их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию
по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3 ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обществом осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
- лица, поступающие на работу - физические лица, претендующие на замещение
должностей в Обществе (далее - кандидаты);
- работники - физические лица, состоящие или состоявшие с Обществом в трудовых
отношениях;
- члены семьи (при их отсутствии - близкие родственники) работников - физические
лица, находящиеся в семейных либо родственных отношениях с работниками Общества (далее - члены семьи);
- акционеры - физические лица, являющиеся владельцами акций Общества;
- лица, входящие в состав органов управления и контроля Общества - физические лица,
входящие в состав Совета директоров, Правления и Ревизионную комиссию Общества;
- исполнители - физические лица, оказывающие Обществу услуги и выполняющие
работы по договорам гражданско-правового характера;
- работники контрагентов - физические лица, являющиеся работниками сторонних
организаций - контрагентов, с которым Общество имеет договорные отношения или собирается их устанавливать;
- посетители Общества - физические лица, имеющие или имевшие допуск на
территорию административных помещений Общества по временному или одноразовому пропуску;
- посетители АНО «Казань Экспо» - физические лица, являющиеся или являвшиеся
посетителями выставок, а также участниками вневыставочных мероприятий, а также изъявившие желание их посетить;

Для каждой категории субъектов персональных данных Обществом определены цели обработки персональных данных:
1) кандидаты:
- персональные данные кандидата обрабатываются исключительно с целью его подбора
на замещение должности в Обществе.
2) работники:
- персональные данные работника обрабатываются с целью его обучения, перевода на
другую работу, охраны труда и личной безопасности, контроля качества выполняемой работы, оплаты труда в соответствии с требованиями законов и иных нормативных правовых актов, а также обеспечения сохранности имущества Общества.
3) члены семьи:
- персональные данные члена семьи (близкого родственника) работника обрабатываются
с целью выполнения трудового законодательства в отношении работника Общества, а также в случаях добровольного медицинского страхования члена семьи (близкого родственника).
4) акционеры:
- реализация полномочий по управлению Обществом (выполнение положений Устава
Общества);
- осуществление материальных выплат.
5) лица, входящие в состав органов управления и контроля Общества:
- выполнение требований законодательства Российской Федерации (Федеральный закон
от 08.08.2001 года № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей», Федеральный закон от 26.12.1995 года № 208- ФЗ «Об акционерных обществах», Федеральный закон от 22.04.1996 года № 39-ФЗ «О рынке ценных бумаг», «Положение о раскрытии информации эмитентами эмиссионных ценных бумаг», утверждено Банком России 30.12.2014 года № 454-П, зарегистрировано в Минюсте России 12.02.2015 года № 35989).
6) исполнители:
- персональные данные исполнителя обрабатываются Обществом с целью заключения и
выполнения условий договора гражданско-правового характера на оказание услуг и выполнение работ.
7) работники контрагентов:
- персональные данные работника контрагента обрабатываются с целью заключения и
выполнения условий договора (соглашения) между Обществом и сторонней организацией-контрагентом.
8) посетители Общества:
- персональные данные посетителя Общества обрабатываются с целью обеспечения его
регистрации и пропуска на территорию Общества.
9) посетители АНО «Казань Экспо»:
- персональные данные посетителя АНО «Казань Экспо» обрабатываются Обществом
с целью обеспечения участия посетителей в выставочных и вневыставочных мероприятиях, а также их информационного обеспечения.
При определении объема и содержания обрабатываемых персональных данных субъектов ПДн Общество руководствуется целями сбора и обработки персональных данных.
Перечень персональных данных, обрабатываемых в Обществе, утверждается приказом Генерального директора Общества.

4 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество осуществляет обработку персональных данных при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных
данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных
интересов оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных
исследовательских целях, при условии обязательного обезличивания персональных данных.

5 КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6 ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В целях информационного обеспечения в Обществе создаются общедоступные источники персональных данных, включающие сведения о руководстве Общества, а именно официальный сайт Общества, расположенный по адресу: http://www.kazanexpo.ru/. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных включаются: фамилия, имя, отчество, должность, сведения о предыдущих местах работы, сведения об образовании.
Сведения о субъекте персональных данных должны быть исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

7 СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество осуществляет обработку специальных категорий персональных данных при наличии согласия в письменной форме на обработку таких персональных данных.
Обработка специальных категорий персональных данных незамедлительно прекращается, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено законодательством Российской Федерации.

8 ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ДРУГОМУ ЛИЦУ

Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». В поручении на обработку определяются перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.

9 ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Общество вправе осуществлять трансграничную передачу персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных в соответствии с договорами, заключаемыми с устроителями выставочно-конгрессных мероприятий.

10 ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1 Согласие субъекта персональных данных на обработку его персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Общество.
Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

10.2 Права субъекта персональных данных
Во исполнение требований Федерального закона № 152-ФЗ «О персональных данных», обеспечивающего соблюдение прав субъекта персональных данных на доступ к персональным данным, Обществом разработана и введена процедура работы с запросами и обращениями субъектов персональных данных. Данная процедура обеспечивает соблюдение следующих прав субъектов персональных данных:
- субъект персональных данных имеет право на получение информации, касающейся
обработки его персональных данных, в сроки, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных»;
- субъект персональных данных вправе требовать от Общества уточнения его
персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом № 152-ФЗ «О
персональных данных» меры по защите своих прав;
- субъект персональных данных вправе требовать разъяснения от Общества о порядке
принятия решения на основании исключительно автоматизированной обработки персональных данных субъекта персональных данных и возможные юридические последствия такого решения;
- субъект персональных данных вправе обжаловать действия или бездействие Общества
в Уполномоченный орган по защите прав субъектов персональных данных (далее - Роскомнадзор) или в судебном порядке;
- субъект персональных данных имеет право на защиту своих прав и законных
интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

11 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Обществом применяются следующие организационно-технические меры:
- назначение должностного лица, ответственного за организацию обработки
персональных данных;
- назначение должностного лица, ответственного за обеспечение безопасности
персональных данных;
- осуществляется учет работников Общества, допущенных к обработке персональных
данных;
- ознакомление работников Общества с требованиями законодательства РФ и
внутренних нормативных документов Общества по обработке и обеспечению безопасности персональных данных;
- организация учёта, хранения и контроля обращения носителей персональных данных;
- определение угроз безопасности персональных данных при их обработке в
информационных системах персональных данных, формирование на их основе Модели угроз и нарушителя безопасности персональных данных; применение необходимых для обеспечения безопасности персональных данных средств защиты информации, в том числе средств криптографической защиты информации;
- обеспечение восстановления персональных данных, уничтоженных или
модифицированных вследствие несанкционированного доступа к ним;
- определение мест хранения персональных данных;
- оценка эффективности принятых мер по обеспечению безопасности персональных
данных;
- обеспечение контроля за принимаемыми мерами по обеспечению безопасности
персональных данных и уровнем защищённости персональных данных;
- организация пропускного режима на территорию Общества, охраны помещений с
техническими средствами обработки персональных данных.

12 ОРГАНИЗАЦИЯ ОБРАБОТКИ ОБРАЩЕНИЙ И ЗАПРОСОВ
12.1 Перечень обращений и запросов
При осуществлении деятельности Общества по обработке персональных данных возможны следующие запросы и обращения субъекта персональных данных или его законного представителя:
- запрос о предоставлении сведений об обработке персональных данных субъекта
персональных данных;
- запрос о предоставлении сведений об обработке персональных данных субъекта
персональных данных в целях продвижения товаров, работ, услуг на рынке;
- запрос о предоставлении сведений об обработке персональных данных субъекта
персональных данных с принятием решений на основании исключительно автоматизированной обработки персональных данных;
- запрос о предоставлении сведений об обработке персональных данных субъекта
персональных данных в общедоступных источниках;

- запрос о предоставлении сведений о передаче персональных данных субъекта
персональных данных третьим лицам;
- запрос о предоставлении сведений о трансграничной передаче персональных данных
субъекта персональных данных;
- обращение об отзыве согласия субъекта персональных данных на обработку его
персональных данных;
- требование об уточнении персональных данных субъекта персональных данных;
- требование субъекта персональных данных о блокировании его персональных данных;
- требование субъекта персональных данных об уничтожении его персональных данных.

12.2 Прием запросов, обращений и предписаний
Организация обработки обращений и запросов субъектов персональных данных или их представителей осуществляется Ответственным за организацию обработки персональных данных (далее - Ответственный).
Ответственный назначается приказом Генерального директора Общества.
С целью регистрации обращений и запросов по вопросам обработки персональных данных, а также ответов на них, Ответственным ведется Журнал учета запросов и обращений по вопросам персональных данных.
Запрос (обращение) субъекта персональных данных должен содержать:
- фамилию, имя и отчество субъекта персональных данных;
- паспортные данные субъекта персональных данных (его представителя);
- сведения, подтверждающие участие субъекта персональных данных в отношениях с
Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных субъекта персональных данных Обществом;
- текст содержания запроса (обращения);
- адрес для получения ответа на запрос (обращение);
- подпись субъекта персональных данных (его представителя).
При наличии вышеуказанных обязательных реквизитов запрос (обращение) должен быть зафиксирован в Журнале учета запросов и обращений по вопросам персональных данных (далее - Журнал). Если реквизиты, указанные в запросе (обращении) неполные или содержат неверную информацию, в ответе на данный запрос (обращение) необходимо указать, какие данные нуждаются в уточнении.

12.3 Реагирование на запросы, обращения и предписания
Ответственный для формирования ответа на запрос (обращение) об обработке персональных данных субъектов персональных данных обязан запросить и получить необходимую информацию в соответствующем подразделении Общества, осуществляющем обработку персональных данных субъекта персональных данных. Структурные подразделения, в которых обрабатываются указанные в запросе (обращении) персональные данные, обеспечивают предоставление информации Ответственному в течение 3 (трех) рабочих дней.
В процессе реагирования на запросы (обращения) субъекта персональных данных (его представителя) Ответственный организует и обеспечивает выполнение следующих мероприятий:
- сбор, анализ и фиксацию информации о наличии, основании, условиях обработки
персональных данных, относящихся к субъекту персональных данных, в том числе общедоступных персональных данных;
- сбор сведений об основании обработки персональных данных в целях продвижения
товаров, работ, услуг на рынке;
- сбор, анализ и фиксацию сведений о передаче персональных данных субъекта
персональных данных сторонним организациям, а также о трансграничной передаче;
- сбор, анализ и фиксацию сведений о принятии решений, порождающих юридические
последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки персональных данных;
- предоставление субъекту персональных данных возможности ознакомления с его
персональными данными, а также внесение в них необходимых изменений, уничтожение или блокировку соответствующих персональных данных по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- разработку указаний сторонним организациям, которым были переданы персональные
данные субъекта персональных данных, о необходимости внесения изменений и принятия мер в отношении персональных данных субъекта персональных данных;
- в случае отказа в предоставлении субъекту персональных данных (его представителю)
по его запросу (обращению) сведений об обработке персональных данных - разработка мотивированного ответа, содержащего ссылку на соответствующую норму Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Для реагирования на запросы (обращения) субъекта персональных данных (его представителя) предусмотрены следующие сроки:
- предоставление (отказ в предоставлении) информации субъекту персональных данных
(его представителю) об обработке персональных данных, а также предоставление возможности ознакомления с персональными данными - в течение 30 (тридцати) дней с даты получения запроса (обращения);
- внесение изменений в персональные данные в случае, если они являются неполными,
неточными или неактуальными - не более 7 (семи) рабочих дней с даты получения запроса (обращения);
- уничтожение персональных данных в случае, когда они получены незаконно или не
являются необходимыми для заявленной цели обработки - не более 7 (семи) рабочих дней с даты получения запроса (обращения).
Получаемые запросы (обращения, предписания) по вопросам персональных данных, а также ответы на них не должны нарушать конституционные права и свободы других лиц.

13 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Настоящая Политика пересматривается по мере необходимости, на основании оценки эффективности реализованных в рамках системы защиты персональных мер по обеспечению безопасности персональных данных (указанная оценка проводится не реже одного раза в 3 года) или в случае изменений требований законодательства Российской Федерации в области обработки и защиты персональных данных.
Изменения в настоящую Политику вносятся приказом Генерального директора Общества.
Общество обеспечивает неограниченный доступ к настоящей Политике путем публикации настоящей Политики на официальном сайте Общества, расположенном по адресу: http://www.kazanexpo.ru/.
Иные права и обязанности Общества определяются законодательством Российской Федерации в области персональных данных.

14 ОТВЕТСТВЕННОСТЬ
Работники Общества, виновные в нарушении требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.