1.1. Настоящая Политика ГАУ «НИ и ПИ Градплана города Москвы» в отношении обработки персональных данных физических лиц (далее – Политика, Институт) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и определяет основные направления деятельности Института в работе с персональными данными физических лиц, обратившихся в Институт путем подачи (направления) письменного обращения, также с использованием интернет-ресурсов, включая официальный сайт eipp.ru, любые сервисы на домене eipp.ru и его поддоменах (далее – Сайт, Сервисы), электронную почту Института gradplan@str.mos.ru и иным способом (далее — Заявители) и обеспечению их защиты.
1.2. Настоящая Политика регламентирует цели, содержание и порядок обработки персональных данных в Институте, меры, направленные на их защиту, а также на выявление и предотвращение нарушений законодательства Российской Федерации в данной области.
1.3. Целью настоящей Политики является обеспечение защиты прав субъектов персональных данных, к которым относятся Заявители.
2.1. Персональные данные Заявителей обрабатываются в соответствии с законодательством в целях исполнения Институтом и/или его партнерами своих обязательств перед Заявителем, приглашения Заявителя к участию в мероприятиях Института и его партнеров, предоставления справочной и иной информации, реализации и продвижения работ, услуг и товаров, доступа и использования возможностей Сайта и Сервисов Института, а также рассылки сообщений рекламно-информационного характера и сервисных сообщений.
2.2. В целях, указанных в пункте 2.1 настоящей Политики, обрабатываются следующие категории персональных данных Заявителей:
- при регистрации на Сайте и Сервисах Заявитель предоставляет следующую информацию: фамилия, имя, отчество, адрес электронной почты, номер телефона;
- при оформлении заявок на услуги Института через сервис «Личный кабинет заказчика» Заявитель предоставляет помимо своих персональных данных сведения об организации – заказчике услуг и персональные данные третьих лиц, требуемые для оформления официальных договорных отношений с организацией;
- при подаче/направлении письменного обращения, в том числе через Сайт и Сервисы, Заявитель сообщает (предоставляет) о себе сведения, позволяющие направить ему ответ: фамилию, имя (отчество - по желанию), адрес (почтовый и (или) электронной почты и пр.), а также иные персональные данные, которые необходимы для достижения цели обращения (например, для заключения договора/соглашения - паспортные данные и т.п.).
2.3. Обработка персональных данных Заявителя осуществляется при условии получения его согласия, в явном виде выраженного через электронную форму на Сайте и Сервисах, либо в письменном обращении посредством его подписания/направления по электронной почте при предоставлении Заявителем персональных данных, содержащихся как в обращении, так и прилагаемых к нему документах.
2.4. Обработка персональных данных, для которой требуется письменное согласие, оформленное в соответствии с частью 4 статьи 9 Закона № 152-ФЗ, без получения такового не осуществляется. Согласие, указанное в пункте 2.3 настоящей Политики, позволяет обрабатывать персональные данные исключительно в объеме и способами, необходимыми для достижения цели обращения.
2.5. Обработка персональных данных, представленных Заявителем для опубликования на Сайте и Сервисах, а также официальных аккаунтах Института в социальных сетях, осуществляется при условии получения согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (Приложение № 1 к настоящей Политике). Данное согласие оформляется отдельно от иных согласий.
2.6. Заявителю предоставляется возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. В согласии Заявитель вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
2.7. Перечень должностей лиц, уполномоченных на обработку персональных данных в Институте, утверждается приказом директора Института. До начала работы со сведениями уполномоченные лица подписывают обязательство о неразглашении персональных данных субъекта.
2.8. Обработка персональных данных Заявителей осуществляется уполномоченными лицами и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных Заявителей, осуществляется путем:
- получения персональных данных непосредственно от субъектов персональных данных в электронной форме;
- внесения сведений в учетные формы (на электронных носителях);
- формирования персональных данных в ходе маркетинговых мероприятий;
- внесения персональных данных в информационные системы, используемые уполномоченными лицами.
2.10. Институт обязуется не передавать полученные от Заявителя персональные данные третьим лицам за исключением установленных законодательством случаев.
2.11. Институт обязуется прекратить по требованию субъекта персональных данных передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения.
2.12. Не считается нарушением предоставление Институтом информации агентам и третьим лицам для осуществления доступа Заявителя на мероприятия, на которые Заявитель прошел регистрацию.
2.13. Не считается нарушением передача Институтом третьим лицам данных о Пользователе в обезличенной форме в целях оценки и анализа работы Сайта и Сервисов.
2.14. Институт вправе использовать технологию «cookies». Полученная Институтом информация об iр-адресе посетителя Сайта и Сервисов и сведениях об интернет-сайте (информационном ресурсе), с которого осуществлен переход на Сайт и Сервисы, не используется для установления его личности.
2.15. Уполномоченным лицам запрещается:
- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке, а также осуществлять ввод персональных данных под диктовку;
- оставлять без присмотра на рабочем месте реквизиты доступа к информационным системам, содержащим персональные данные.
2.16. Ответственными за организацию работы с персональными данными лицами являются заместители директора, курирующие вопросы информационной безопасности, делопроизводства, а также финансовые и кадровые вопросы, которые приравниваются к уполномоченным лицам.
2.17. Лица, ответственные за организацию работы с персональными данными, обязаны:
- обеспечивать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Институте от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- в случае нарушения требований к защите персональных данных обеспечивать принятие необходимых мер по восстановлению нарушенных прав субъектов персональных данных.
2.18. Уполномоченные лица, ответственные за организацию обработки персональных данных, вправе:
1) Иметь доступ к информации, касающейся обработки персональных данных в Институте и включающей:
- цели обработки персональных данных
- категории обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых в Институте способов обработки персональных данных;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными нормативными правовыми актами.
2) Привлекать для реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Институте, иных работников (кроме уполномоченных лиц) с возложением на них соответствующих обязанностей и закреплением ответственности.
3.1. Сроки обработки и хранения персональных данных Заявителей определяются в соответствии с законодательством Российской Федерации.
3.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо выражен последним в согласии на их обработку.
3.3. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а равно окончания срока действия согласия на их обработку, если иное не предусмотрено федеральным законом.
3.4. Контроль сохранности и использования материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют уполномоченные лица.
3.5. Персональные данные хранятся в электронной форме на сервере Института и уничтожаются уполномоченными лицами путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление названных сведений, или удалением с машинных носителей информации методами и средствами гарантированного удаления остаточной информации.
Лица, допущенные к персональным данным, виновные в нарушении правовых норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.