1. Общие положения
1.1. Политика Государственного бюджетного учреждения города Москвы «Московское долголетие» (учреждение) в отношении обработки и защиты персональных данных (Политика) определяет основные принципы обработки персональных данных субъектов персональных данных (персональные данные) и защиты прав субъектов персональных данных, персональные данные которых обрабатываются учреждением.
1.2. Политика разработана в соответствии с требованиями законодательства Российской Федерации в области персональных данных, в том числе Федерального закона Российской Федерации от 27.07.2006 No 152-ФЗ «О персональных данных» (Закон «О персональных данных»), а также иными нормативными правовыми актами Российской Федерации и города Москвы, регулирующими обработку и защиту персональных данных.
1.3. Термины и определения:

• 1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• 1.1персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
• 2. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• 3. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• 4. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
• 5. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• 6. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• 7. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• 8. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• 9.обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• 10. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Субъекты персональных данных, правовые основания и цели обработки персональных данных
2.1. Правовым основанием обработки персональных данных субъектов персональных данных Учреждением является исполнение возложенных на учреждение законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Налоговый кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Семейный кодекс Российской Федерации, Федеральный закон от 09.02.2009 г. No 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», Федеральный закон от 27 июля 2010 г. No 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федеральный закон от 28.12.2013 г. No 442-ФЗ «Об основах социального обслуживания граждан в Российской Федерации», Федеральный закон от 12.01.1995 No 5-ФЗ «О ветеранах», Федеральный закон от 24.11.1995 No 181-ФЗ «О социальной защите инвалидов в Российской Федерации», Федеральный закон от 02.05.2006 г. No 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Федеральный закон от 29.11.2010 г. No 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Федеральный закон от 16 июля 1999 г. No 165-ФЗ «Об основах обязательного социального страхования», Федеральный закон от 15 декабря 2001 г. No 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Федеральный закон от 29 декабря 2006 г. No 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством», Федеральный закон от 21 ноября 2011 г. No 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральный закон от 01.04.1996 г. No 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральный закон от 28.12.2013 г. No 400-ФЗ «О страховых пенсиях», Федеральный закон от 15.12.2001 г. No 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации», Федеральный закон от 28.03.1998 г. No 53-ФЗ «О воинской обязанности и военной службе», Федеральный закон от 26.02.1997 г. No 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральный закон от 06.12.2011 г. No 402-ФЗ «О бухгалтерском учете», Постановление Правительства от 27 ноября 2006 г. No 719 «Об утверждении Положения о воинском учете» и др.
2.2. Субъектами персональных данных, данные которых обрабатываются в учреждении, являются:
- работники;
- ближайшие родственники работников;
- уволенные работники;
- кандидаты, принимающие участие в конкурсе на замещение вакантных должностей работников учреждения;
- представители организаций – участников закупок, проводимых учреждением в соответствии с требованиями федерального закона от 05 апреля 2013 г. No 44 -ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» (участники закупок);
- представители контрагентов;
- физические лица, обратившиеся в учреждение с жалобой, предложением, заявлением или направившие запрос о предоставлении информации о деятельности учреждения;
- физические лица – получатели социальных услуг, предоставившие свои персональные данные в рамках исполнения учреждением своих полномочий.
2.3. Обработка персональных данных субъектов персональных данных осуществляется в целях:
- обеспечения соблюдения федеральных законов и иных нормативных актов Российской Федерации и города Москвы, регулирующих вопросы ведения бухгалтерского, налогового и воинского учета, кадровой работы при выполнении работниками своих трудовых обязанностей в учреждении;
- обеспечения соблюдения федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих вопросы участия граждан в конкурсах на включение в кадровый резерв и замещение вакантных должностей в учреждении;
- оформления доверенностей работникам;
- проведения закупок в соответствии с требованиями Федерального закона от 05.04.2013 No 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
- заключения и исполнения государственных контрактов с контрагентами;
- обеспечения соблюдения федеральных законов и иных нормативных правовых актов, регламентирующих правоотношения в сфере рассмотрения обращений физических и юридических лиц;
- предоставления социальных услуг гражданам.

3. Принципы и правила обработки персональных данных
3.1. При обработке персональных данных учреждением соблюдаются следующие принципы:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целях их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных;
- принимаются необходимые меры по удалению или уточнению неполных, или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и города Москвы;
- обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
3.2. Учреждением осуществляется как автоматизированная обработка персональных данных, так и неавтоматизированная обработка персональных данных (обработка персональных данных без использования средств автоматизации; обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого субъекта персональных данных осуществляются при непосредственном участии человека). Совокупность операций обработки персональных данных в Учреждении включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, распространение, доступ), блокирование, удаление, уничтожение персональных данных.
3.3. При сборе персональных данных учреждение обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
3.4. Перечень обрабатываемых учреждением персональных данных утверждается распоряжением учреждения
3.5. Допускается обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
3.6. Учреждение осуществляет передачу персональных данных третьим лицам в соответствии с требованиями законодательства Российской Федерации в области обработки и защиты персональных данных.
3.7. Учреждение в ходе своей деятельности вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта. При этом обязательным условием предоставления и/или поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
3.8. В случаях, когда учреждение поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет учреждение. Лицо, осуществляющее обработку персональных данных по поручению учреждения, несет ответственность перед учреждением.
3.9. Прекращение обработки персональных данных осуществляется по инициативе субъекта персональных данных и при прекращении деятельности учреждения (ликвидация или реорганизация).

4. Сроки обработки персональных данных
4.1. Сроки обработки (в т. ч. хранения) персональных данных, обрабатываемых учреждением, определяются исходя из целей обработки персональных данных и в соответствии с требованиями федеральных законов Российской Федерации.

5. Меры обеспечения безопасности персональных данных, принимаемые учреждением
5.1. Учреждение принимает или обеспечивает принятие необходимых и достаточных правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.2. К таким мерам в учреждении относятся:
- назначение лица, ответственного за организацию обработки персональных данных;
- издание локальных актов по вопросам обработки персональных данных и локальных актов, устанавливающих процедуры, направленные на предотвращение и выявления нарушений законодательства Российской Федерации в области обработки и защиты персональных данных, устранение последствий таких нарушений;
- применение или обеспечение применения правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона «О персональных данных»;
- осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, внутренним документам учреждения в области обработки и защиты персональных данных;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых учреждением мер (или мер, обеспечение принятия которых осуществляется учреждением), направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
- ознакомление работников учреждения с положениями законодательства Российской Федерации о персональных данных, внутренними документами учреждения по вопросам обработки персональных данных, требованиями к защите персональных данных.

6. Взаимодействие с субъектами персональных данных
6.1. Права субъектов персональных данных определяются статьями 14-17 Федерального закона «О персональных данных».
6.2. Для осуществления своих прав субъект персональных данных может лично или через законного представителя обратиться в учреждение путем направления письменного запроса на его юридический адрес.
6.3. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных учреждением;
- подпись субъекта персональных данных или его представителя.
- Порядок рассмотрения запросов осуществляется учреждением в порядке, установленном Законом «О персональных данных».