1. Общие положения

1.1. Политика в отношении обработки персональных данных в муниципальном автономном учреждении города Новосибирска «Дирекция городских парков» (МАУ «Дирекция городских парков», Учреждение), (далее – Политика) регламентирует обработку персональных данных в МАУ «Дирекция городских парков».
1.2. Политика разработана в соответствии c Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативно правовыми актами, регламентирующие работу в сфере защиты конфиденциальной информации.
1.3. Политика содержит в себе регламентирующие положения в виде приложений.
1.4. Настоящая Политика применяется в МАУ «Дирекция городских парков», обрабатывающим персональные данные в электронном виде и на бумажных носителях.

2. Термины и обозначения

2.1. В настоящей Политике используются следующие термины и определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Сайт в сети «Интернет» (https://parkigoroda-nsk.ru.) - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
Должностное лицо – работник учреждения правомочный от имени МАУ «Дирекция городских парков» исполнять определенные, предусмотренные должностными обязанностями действия.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – требование обязательного соблюдения недопущения распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Пользователь – любой посетитель сайта в сети «Интернет» https://parkigoroda-nsk.ru.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Персональные данные (ПДн) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее - персональные данные, разрешенные для распространения).
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Субъект персональных данных - физическое лицо, определяемое (идентифицируемое) на основании персональных данных.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Субъекты персональных данных, цели обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных

3.1. Перечень субъектов, чьи персональные данные обрабатываются МАУ «Дирекция городских парков».
МАУ «Дирекция городских парков» обрабатывает персональные данные следующих групп субъектов:
- работников МАУ «Дирекция городских парков»;
- должностных лиц МАУ «Дирекция городских парков», чьи персональные данные размещены с их согласия в общедоступных источниках;
- лиц, обратившихся в МАУ «Дирекция городских парков» по иным различным вопросам;
- лиц, являющихся стороной гражданско-правового договора, заключенного с МАУ «Дирекция городских парков»;
-пользователи официального сайта МАУ «Дирекция городских парков» в информационно-телекоммуникационной сети «Интернет».
3.2. Персональные данные субъектов персональных данных, указанных в пункте 3.1 настоящей Политики, обрабатываются в следующих целях:
- обеспечение соблюдения законов и иных нормативных правовых актов;
- выполнения работниками трудовых функций и обязанностей;
- ведение кадрового и бухгалтерского учета;
- содействие работникам в трудоустройстве, получении образования и продвижении по службе;
- предоставление со стороны Учреждения установленных законодательством условий труда, гарантий и компенсаций;
- заполнение и передача в уполномоченные органы требуемых форм отчетности;
- обеспечение личной безопасности работников и сохранности имущества;
- контроль количества и качества выполняемой работы;
- оформление награждений и поощрений;
- заключение, исполнение и прекращение гражданско-правовых договоров;
- подготовка ответов лицам, обратившихся в МАУ «Дирекция городских парков» по иным различным вопросам;
- информирование Пользователя посредством отправки электронных писем;
- предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://parkigoroda-nsk.ru.
3.3. Перечень персональных данных, обрабатываемых МАУ «Дирекция городских парков»:
3.3.1. Перечень персональных данных работников и должностных лиц, обрабатываемых МАУ «Дирекция городских парков»:
- фамилия, имя, отчество (при наличии);
- дата и место рождения, пол, гражданство;
- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- паспортные данные;
- идентификационный номер налогоплательщика (ИНН);
- страховой номер индивидуального лицевого счета (СНИЛС);
- номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
- сведения об образовании, квалификации, профессиональной подготовке и сведения о повышении квалификации;
- сведения о владении иностранными языками;
- факты биографии и сведения о предыдущей трудовой деятельности (место работы, период и стаж работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
- реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
- сведения о доходах, обязательствах по исполнительным документам;
- номера расчетного счета, банковской карты;
- сведения о состоянии здоровья (для отдельных категорий работников);
- деловые и иные личные качества, которые носят оценочный характер;
- сведения, содержащиеся в документах, представление которых предусмотрено действующим законодательством Российской Федерации, если обработка этих данных соответствует цели обработки, предусмотренной 3.2 настоящей Политики;
- иные сведения, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 3.2 настоящей Политики.
Сведения, указанные в списке, Работодатель вправе получать и использовать, только если они характеризуют гражданина как сторону трудового договора.
3.3.2. Перечень обрабатываемых МАУ «Дирекция городских парков персональных данных лиц, обратившихся по различным вопросам:
- фамилия, имя отчество (при наличии);
- паспортные данные, адрес места жительства, почтовый адрес;
- контактный телефон, адрес электронной почты;
- иные персональные данные, указанные субъектом в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
3.3.3. Перечень обрабатываемых МАУ «Дирекция городских парков персональных данных лиц, являющихся стороной гражданско-правового договора, заключенного с МАУ «Дирекция городских парков»:
- фамилия, имя отчество (при наличии);
- паспортные данные, адрес места жительства;
- идентификационный номер налогоплательщика (ИНН);
- контактный телефон;
- адрес электронной почты;
- фактический почтовый адрес;
- банковские реквизиты;
- другая информация, необходимая для заключения и исполнения договора.
3.3.4. Перечень обрабатываемых МАУ «Дирекция городских парков» персональных данных посетителей официального сайта:
- фамилия, имя, отчество (при наличии);
- электронный адрес;
- контактный телефон;
- год, месяц, дата и место рождения.
Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
3.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, личной жизни, Оператором не осуществляется.
3.6. Обработка Оператором биометрических персональных данных работника (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.

4. Основания и принципы обработки персональных данных

4.1. Правовыми основаниями обработки персональных данных Оператором являются:
Конституция Российской Федерации;
Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных»;
Трудовой кодекс РФ;
Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции» и принятое в соответствии с его положениями Постановление Правительства РФ от 21.01.2015 № 29 «Об утверждении Правил сообщения работодателем о заключении трудового или гражданско-правового договора на выполнение работ (оказание услуг) с гражданином, замещавшим должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации»; 
Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
Федеральный закон от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации»;
иные федеральные законы и подзаконные нормативные акты, регламентирующие деятельность Оператора и предусматривающие обработку персональных данных;
согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).
4.2. Обработка персональных данных осуществляется исходя из следующих принципов:
-Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Порядок обработки персональных данных

5.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
5.2. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.
5.3. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
5.4. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
5.5. Персональные данные субъекта никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу.
5.6. В случае выявления неточностей в персональных данных, субъект персональных данных может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора kadry@parki-nsk.ru с пометкой «Актуализация персональных данных».
5.7. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора kadry@parki-nsk.ru с пометкой «Отзыв согласия на обработку персональных данных».
5.8. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
5.10. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.
5.11. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.12. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
5.13. Оператор обрабатывает персональные данные Пользователя в следующем порядке:
5.13.1. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://parkigoroda-nsk.ru или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
5.13.2. Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты kadry@parki-nsk.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
5.13.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
5.13.4. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
5.14. В МАУ «Дирекция городских парков» персональные данные работников и лиц, являющихся стороной гражданско-правового договора, заключенного с МАУ «Дирекция городских парков» обрабатываются в информационных системах персональных данных, указанных в Приложении № 4 к настоящей Политике.
5.15. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, устанавливаются правилами обработки персональных данных в МАУ «Дирекция городских парков» без использования средств автоматизации (Приложение № 3).

6. Обработка персональных данных, разрешенных субъектом персональных данных для распространения

6.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
6.2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
6.3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
6.4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.
6.5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
6.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
1) непосредственно;
2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
6.7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.
6.8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
6.9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается.
6.10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
6.11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
6.12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
6.13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в п. 6.12 настоящей Политики.
6.14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
6.15. Требования настоящего раздела не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.

7. Сроки хранения и обработки персональных данных.

Порядок уничтожения персональных данных.
7.1. При достижении целей обработка персональных данных должна быть прекращена, а персональные данные подлежат уничтожению в срок, не превышающий тридцати дней, если иное не определено действующим законодательством (ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
7.2. Уничтожение персональных данных в МАУ «Дирекция городских парков» производится в соответствии с утвержденным порядком (Приложение № 8).

8. Права субъекта персональных данных на защиту его персональных данных

8.1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
10) иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» или другими федеральными законами.
8.3. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Обязанности МАУ «Дирекция городских парков» как оператора персональных данных

9.1. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, уполномоченные лица МАУ «Дирекция городских парков» обязаны разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
9.2. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, указанных в п. 10.3 настоящей Политикой, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
2.1) перечень персональных данных;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» права субъекта персональных данных;
5) источник получения персональных данных.
9.3. МАУ «Дирекция городских парков» освобождается от обязанности предоставить субъекту персональных данных сведения, указанные в п. 9.2 настоящей Политики, в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5) предоставление субъекту персональных данных сведений, предусмотренных п 9.2 настоящей Политики, нарушает права и законные интересы третьих лиц.
9.4. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.5. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.6. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.7. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.8. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.9. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.10. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
9.12. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» или другими федеральными законами.
9.13. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» или другими федеральными законами.
9.14. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.15. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 10.10 – 10.14 настоящей Политики, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

10. Заключительные положения

10.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты kadry@parki-nsk.ru .
10.2. Политика действует бессрочно до замены ее новой версией.
10.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://parkigoroda-nsk.ru/policy.

11. Приложения

Приложение № 1 – Положение об обработке персональных данных работников муниципального автономного учреждения города Новосибирск «Дирекция городских парков»;
Приложение № 2 – Правила рассмотрения запросов субъектов персональных данных или их представителей;
Приложение № 3 – Правила обработки персональных данных в МАУ «Дирекция городских парков» без использования средств автоматизации;
Приложение № 4 – Перечень информационных систем персональных данных в МАУ «Дирекция городских парков»;
Приложение № 5 – Инструкция пользователя информационных систем персональных данных по обеспечению безопасности персональных данных в МАУ «Дирекция городских парков»;
Приложение № 6 – Инструкция администратора безопасности информационной системы персональных данных в МАУ «Дирекция городских парков»;
Приложение № 7 – Инструкция по проведению антивирусного контроля в МАУ «Дирекция городских парков»;
Приложение № 8 – Порядок уничтожения персональных данных, обрабатываемых в МАУ «Дирекция городских парков»;
Приложение № 9 – Правила оценки вреда, который может быть причинен субъектам персональных данных;
Приложение № 10 – Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
Приложение № 11 – План внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных данных МАУ «Дирекция городских парков»;
Приложение № 12 – Перечень должностей работников МАУ «Дирекция городских парков», предусматривающий осуществление обработки персональных данных либо осуществление доступа к персональным данным;
Приложение № 13 – Инструкция ответственного за организацию обработки персональных данных;
Приложение № 14 – Форма согласия на обработку персональных данных;
Приложение № 15 – Заявление на отзыв согласия на обработку персональных данных
Приложение № 16 – Форма согласия на распространения персональных данных.