Политика Религиозной организации «Управленческий центр Новоапостольской церкви в России» в отношении обработки персональных данных

Утверждено Приказом Президента Религиозной организации «Управленческий центр Новоапостольской церкви в России» от «02» октября 2022 года №22

I. Общие положения

1.1. Настоящий документ определяет политику Религиозной организации «Управленческий центр Новоапостольской церкви в России» (далее - Организация) в отношении обработки персональных данных.

1.2. Политика обработки персональных данных определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов.

1.3. Положения Политики служат основой для разработки внутренних локальных актов Организации, регламентирующих вопросы обработки персональных данных субъектов персональных данных Организации.

1.4. Настоящая политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Федеральным законом от 26.09.1997 № 125-ФЗ «О свободе совести и о религиозных объединениях».

1.5. Настоящая политика основана на том, что Оператор в силу специфики деятельности обрабатывает специальную категорию персональных данных, касающихся религиозных или философских убеждений человека. Настоящая политика основана на положении п. 5 ч. 2 ст. 10 Федерального закона «О персональных данных», которая допускает специальную обработку персональных данных членов (участников) религиозной организации такой организацией для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных.

1.6. Настоящая Политика основана на том, что никто не обязан сообщать о своем отношении к религии и не может подвергаться принуждению при определении своего отношения к религии, к исповеданию или отказу от исповедания религии, к участию или неучастию в богослужениях, других религиозных обрядах и церемониях, в деятельности религиозных объединений, в обучении религии, а также на запрете вовлечения малолетних в религиозные объединения, а также обучение малолетних религии вопреки их воле и без согласия их родителей или лиц, их заменяющих.

1.7. Настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Организации.

II. Основные понятия, используемые в документе

Для целей настоящей Политики используются следующие основные понятия:

- персональные данные;

- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор - Религиозная организация «Управленческий центр Новоапостольской церкви в России» как лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: - сбор; - запись; - систематизацию; - накопление; - хранение; - уточнение (обновление, изменение); - извлечение; - использование; - передачу (распространение, предоставление, доступ); - обезличивание; - блокирование; - удаление; - уничтожение.

- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);

- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных – совокупность технологий и технических средств, содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных;

- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

- лица, исповедующие вероучение Организации – лица, исповедующие вероучение Новоапостольской церкви, посещающие богослужения Новоапостольской церкви, участвующие в таинствах и священнодействиях Новоапостольской церкви, принимающие участие в мероприятиях Новоапостольской церкви, а также лица, имеющие намерение стать участником (членом) Новоапостольской церкви, исполнять права и обязанности организации в соответствии с ее учредительными документами;

- Новоапостольская церковь – Международная религиозная организация со штаб-квартирой в городе Цюрихе, Швейцария, вероучение которой основано на Библии, книгах Священного Писания (Ветхого и Нового Завета);

- должностное лицо Организации – лица, выполняющие административно-хозяйственные полномочия, священнослужитель Организации, уполномоченный на то в соответствии с внутренними установлениями Организации.

III. Цели сбора и обработки персональных данных

3.1. Обработка персональных данных Организации осуществляется в целях достижения уставной деятельности Организации и ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Обработке подлежат только персональные данные, которые отвечают целям обработки.

3.3. Обработка Организацией персональных данных осуществляется в следующих целях:

- обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных актов Российской Федерации;

- осуществление своей деятельности в соответствии с целями Организации;

- ведение бухгалтерского учета, заполнение и передача в органы исполнительной власти и иные уполномоченные организации форм отчетности;

- осуществление гражданско-правовых отношений;

- обучение религии и религиозное воспитание своих последователей;

- проведение молодежных мероприятий религиозной направленности;

- проведение религиозных обрядов, церемоний в соответствии с внутренними установлениями Организации и ее вероучением;

- благотворительная деятельность;

- волонтерская деятельность;

- проведение собраний верующих и семинаров священнослужителей;

- публикация новостей о деятельности Организации в средствах массовой информации;

- осуществление священнослужителями душепопечительской деятельности.

IV. Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных являются:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 26.09.1997 № 125-ФЗ «О свободе совести и о религиозных объединениях»;

- Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;

- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Положение об обработке персональных данных Организации;

- Устав Организации.

V. Объем и категория обрабатываемых персональных данных

5.1. Содержание и объем обрабатываемых персональных данных в соответствии с заявленными целями обработки:

- дата рождения;

- место рождения;

- пол, возраст;

- паспортные данные;

- сведения о гражданстве;

- фотографические и видео изображения;

- сведения о принадлежности к общине внутри структуры Новоапостольской церкви в России;

- сведения о дате и месте таинств и священнодействий (крещение, запечатление, конфирмация и т.д.), произведенных согласно внутренним установлениям Организации в отношении лица, исповедующего вероучение Новоапостольской церкви, а также в отношении его детей;

- сведения о профессии, ученом звании;

- сведения о семейном положении (детях, родителях, супруге (-ах), в том числе бывших), дате регистрации брака в органах ЗАГС;

- адрес места жительства (согласно регистрации и фактический);

- сведения о прежней принадлежности к другой конфессии и таинствах и священнодействиях, произведенных в других конфессиях;

- сведения о проведении таинств и священнодействий в качестве священнослужителя Новоапостольской церкви;

- указание лица в качестве священнослужителя Организации в свидетельствах и иных внутренних документах Организации.

5.2. Категория субъектов обрабатываемых персональных данных относятся:

- работники Организации;

- уволенные работники Организации;

- лица, исповедующие вероучение Организации;

- лица, имеющие намерение исповедовать вероучение Организации;

- посетители сайта Организации.

VI. Порядок и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом «О персональных данных». Обработка персональных данных допускается в следующих случаях:

6.1.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

6.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

6.1.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

6.1.4 Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6.1.5 Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

6.1.6 Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

6.1.7 Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

6.1.8 Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);

6.1.9 Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.2 Организация может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Организация берет письменное согласие субъекта на обработку его персональных данных.

6.3 Организация может осуществлять обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, состояния здоровья, при этом Организация обязуется брать письменное согласие субъекта на обработку его персональных данных.

6.4. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) в Организации не обрабатываются.

6.5. Организация не осуществляет трансграничную передачу персональных данных.

6.6. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

6.7. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой форме.

6.8. Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Организация в договоре обязует лицо, осуществляющее по поручению Организации обработку персональных данных, соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом.

6.9. В случае, если Организация поручает обработку персональных данных, включая хранение персональных данных, другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Организация. Лицо, осуществляющее обработку персональных данных по поручению Организации, несет ответственность перед Организацией.

6.10. Организация обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

VII. Сроки обработки и хранения персональных данных

7.1. Сроки обработки и хранения персональных данных определяются в соответствии с законодательством РФ.

7.2. С учетом положений законодательства РФ устанавливаются следующие сроки обработки и хранения персональных данных:

- персональные данные лиц, исповедующих вероучение Организации, подлежат хранению до прекращения участия в Организации или отречения от вероучения в соответствии с внутренними установлениями Организации, в зависимости от того, что произойдет позднее, если иное не установлено законодательством;

- персональные данные волонтеров подлежат хранению до завершения процесса волонтерского движения.

7.3. Иные сроки хранения, за исключением случаев, прямо предусмотренных законодательством РФ, могут определяться в согласиях на обработку персональных данных соответствующих лиц.

VIII. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.1. Подтверждение факта обработки персональных данных Организацией, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Организацией субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

8.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (участие в семинаре священнослужителей, слете молодежи, богослужениях и иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Организации;

- подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8.3. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Организацией на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или на основании иных необходимых документов Оператор уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

8.4. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

8.5. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- Организация не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

- иное не предусмотрено другим соглашением между Организацией и субъектом персональных данных.

IX. Меры по обеспечению безопасности персональных данных при их обработке

9.1. В целях организации и проведения мероприятий для обеспечения безопасности в Организации приказом Президента назначается лицо, ответственное за обеспечение безопасности персональных данных при их обработке.

9.2. Организация допускает привлечение на возмездной основе профессиональную организацию, которая может обеспечить ряд технических мероприятий по обеспечению безопасности персональных данных при их обработке.

9.3. Ответственное за обеспечение безопасности персональных данных лицо осуществляет следующие мероприятия и ответственно за их проведение:

- описание информационных систем персональных данных;

- определение актуальных угроз безопасности персональных данных;

- проектирование системы защиты персональных данных, включающей организационные, физические и технические меры и средства защиты;

- организация, закупка, установка и настройка технических средств защиты информации;

- внедрение организационных мер и разработка соответствующих регламентов и положений;

- инструктаж и обучение лиц, которые будут использовать средства защиты информации;

- другие меры.

9.4. Обеспечение безопасности персональных данных достигается посредством применения следующих мер:

9.4.1. Организационные меры безопасности:

- инструктаж работников и лиц, осуществляющих обработку персональных данных в Организации, по правилам обеспечения безопасности обрабатываемых персональных данных;

- учет и хранение машинных носителей информации, порядок их обращения, исключающие хищение, подмену и уничтожение;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;

- мониторинг и реагирование на инциденты информационной безопасности, связанные с персональными данными включая проведение внутренних проверок, разбирательств и составление заключений;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- постоянный контроль за соблюдением требований по обеспечению безопасности персональных данных (реализуется путем внутренних аудитов).

9.4.2. Меры физической безопасности:

- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

9.4.3. Технические меры безопасности:

- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

- регистрация действий пользователей и обслуживающего персонала, контроль доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

- резервирование технических средств, дублирование массивов и носителей информации;

- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Ремонтно-восстановительные работы технических средств обработки информации проводятся под контролем администратора по безопасности. В случае необходимости ремонт технических средств может быть проведен с привлечением сторонних специалистов на договорной основе с составлением актов выполненных работ.