Приложение № 1
к Приказу «Об утверждении политики в отношении обработки и обеспечения безопасности персональных данных от 10.04.2025 г. № 1

1. ОБЩИЕ ПОЛОЖЕНИЯ.

1.1. Настоящая политика в отношении обработки и обеспечения безопасности персональных данных (далее по тексту – Политика) в: Централизованной  религиозной организации «Церковь христиан веры евангельской на Мурмане» (далее – Оператор),
1.2. Целью настоящей Политики является защита интересов Оператора, ее участников (членов), волонтеров, священнослужителей, работников и разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1.3. Данный документ определяет политику в отношении обработки персональных данных Оператора, а также правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.4. Во исполнение требований ч. 2 ст. 18.1 федерального закона «О персональных данных» настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.
1.6. Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных Оператора, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Оператору или субъектам персональных данных.
1.7. Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
•сбор;
•запись;
•систематизацию;
•накопление;
•хранение;
•уточнение (обновление, изменение);
•извлечение;
•использование;
•передачу (распространение, предоставление, доступ);
•удаление;
•уничтожение;
•обезличивание;
•блокирование.
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон РФ от 26.09.1997 № 125-ФЗ «О свободе совести и религиозных объединениях»;
• Федеральный закон РФ от 01.04.1996 № 27-ФЗ «Об
индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования»;
• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном
социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном
медицинском страховании в Российской Федерации»;
• Федеральный закон от 12 января 1996 г. № 7-ФЗ «О
некоммерческих организациях»;
• Федеральный закон «О благотворительной деятельности и
добровольчестве (волонтерстве)» от 11.08.1995 № 135-ФЗ
• Постановление Правительства Российской Федерации от
01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;
• Федеральный закон «О персональных данных» от 27.07.2006 №
152-ФЗ;
• Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
• Устав Централизованной религиозной организации «Церковь христиан веры евангельской на Мурмане».
• Договоры, заключаемые между Оператором и субъектом персональных данных.
2.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
2.3. Согласие на обработку персональных данных (далее – ПДн) может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

2.4. Во исполнение настоящей Политики утверждены следующие локальные правовые акты:
- Приказ по основной деятельности о назначении ответственных лиц в отношении обработки и обеспечения безопасности персональных данных;
- Приказ по основной деятельности об утверждении Политики в отношении обработки и обеспечения безопасности персональных данных;
- Типовое соглашение о неразглашении информации;
- Типовые согласия на обработку персональных данных работника, участника Церковного собрания, члена Совета церкви, волонтера, прихожанина, священнослужителя, несовершеннолетнего участника религиозного собрания;
- Типовые согласия на обнародование (размещение в сети «Интернет») изображения работника, участника Церковного собрания, члена Совета церкви, волонтера, прихожанина, священнослужителя, несовершеннолетнего участника религиозного собрания.

3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

3.1. Персональные данные обрабатываются в целях:
- осуществления прав и законных интересов Оператора в рамках целей, задач, форм и видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, а также в иные государственные органы;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- осуществление трудовых взаимоотношений с работниками;
- осуществление видов деятельности в соответствии с уставом;
- ведение кадровой работы;
- ведение бухгалтерского учета;
- заключение договорных отношений с физическими лицами на оказание услуг и(или) выполнение работ;
- начисления заработной платы;
- обеспечения трудового законодательства и иных нормативно-правовых актов при содействии в трудоустройстве;
- обеспечения сохранности имущества работодателя;
- информирование физических лиц, которые являются участниками (членами) Оператора, рукоположенными священнослужителями, волонтерами организации;
- исполнение обязательств в соответствии с внутренними локальными документами;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- исполнения обязательств в пределах компетенции членов Совета церкви на основании Устава Оператора;
- организации и проведения заседаний Церковных собраний;
- оформления удостоверения священнослужителя;
- ведения реестра священнослужителей, в том числе общедоступный;
- регистрации на мероприятия Оператора;
- обучения несовершеннолетних детей религии в воскресной школе, на богослужениях и других религиозных мероприятиях Оператора.

4. КАТЕГОРИИИ И ОБЪЕМ, ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу.
4.2. Персональными данными, разрешенными субъектом персональных данных для распространения, являются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ.
4.3. Оператор осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:
4.3.1. Физические лица, являющиеся работниками Оператора, уволенные работники:
• фамилия, имя, отчество;
• пол;
• данные документа, удостоверяющего личность;
• дата рождения;
• гражданство;
• анкетные и биографические данные;
• сведения о составе семьи;
• семейное положение;
• социальное положение;
• должность (духовный сан);
• реквизиты банковской карты;
• доходы;
• номер телефона;
• адрес электронной почты;
• содержание трудового договора;
• отношение к воинской обязанности и иные сведения военного билета и приписного удостоверения;
• данные документов о профессиональном образовании, профессиональной переподготовки, повышении квалификации, стажировке (образовательное учреждение, время обучения, присвоенная квалификация);
• данные документов о подтверждении специальных знаний;
• адрес регистрации;
• адрес места жительства;
• данные документов об инвалидности (при наличии);
• данные медицинского заключения (при необходимости);
• стаж работы и другие данные трудовой книжки и вкладыша к трудовой книжке;
• сведения о заработной плате (доходах),
• ИНН;
• сведения о регистрации в СФР (номер страхового свидетельства).
4.3.2. Физические лица, являющиеся сторонами при заключении гражданско-правовых договор по закупке товаров (работ, услуг) (контрагенты):
• фамилия, имя, отчество;
• гражданство;
• дата рождения;
• данные документа, удостоверяющего личность;
• адрес регистрации;
• номер телефона;
• адрес электронной почты;
• ИНН;
• номер расчетного счета.
4.3.3. Священнослужители, члены Совета церкви:
• фамилия, имя, отчество;
• гражданство;
• дата рождения;
• номер телефона;
• данные документа, удостоверяющего личность;
• гражданство;
• адрес регистрации;
• адрес места жительства;
• адрес электронной почты;
• должность (духовный сан);
• фотоизображение лица.
4.3.4. Физические лица, осуществляющие волонтерскую деятельность на благо Оператора, служители Церкви:
• фамилия, имя, отчество;
• дата рождения;
• данные документа, удостоверяющего личность;
• адрес места жительства;
• адрес электронной почты;
• номер телефона;
• фотоизображение лица.
4.3.5. Физические лица, как участники религиозных собраний, служений, церемоний, проводимых Оператором, прихожане и их законные представители:
• фамилия, имя, отчество;
• дата рождения;
• адрес места жительства;
• адрес электронной почты;
• номер телефона;
• фотоизображение лица;
• видеоизображение лица.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

5.1. Обработка персональных данных Субъекта персональных данных совершается с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника.
5.2. Обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку персональных данных. Исключение составляют случаи, предусмотренные законодательством Российской Федерации (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, п. п. 2.1 - 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ).
5.3. Все персональные данные Субъекта персональных данных следует получать у него самого. Если персональные данные Субъекта персональных данных возможно получить только у третьей стороны, то Субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
5.4. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 - 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ.
5.5. Письменное согласие субъекта персональных данных на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.6. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) Оператором применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.
5.6.1. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе Оператора.
5.6.2. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных (далее – Ответственный).
5.6.3. Ответственный за обеспечение безопасности персональных данных обязан:
• ознакомить Субъектов персональных данных под роспись с локальными актами Оператора, устанавливающими порядок обработки персональных данных. Работники должны быть ознакомлены под роспись с положениями нормативных актов при заключении трудового договора и по собственной инициативе;
• организовывать и контролировать приём и обработку обращений и запросов Субъектов персональных данных, обеспечивать осуществление их прав;
• осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, Политики, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных;
• обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе Оператора;
• обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее — Роскомнадзор).

5.7. Обработка персональных данных Оператором производится на основе соблюдения принципов:
• Законности целей и способов обработки персональных данных;
• Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• Недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• Хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки и законодательство Российской Федерации.
Отказ работника Опертора или гражданина от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

При посещении гражданами сайта «https://murmanchurch.ru/» могут генерироваться cookie-файлы – это небольшие файлы, которые создаются и сохраняются браузером. Cookie-файлы хранятся на устройстве не более 6 месяцев и позволяют отслеживать качество работы веб-сайта и характеристики его использования, а также сохранение заполненных пользователем форм.
Посещение и использование сайтов по умолчанию предусматривает генерацию и сохранение cookie-файлов. Граждане, посещающие сайт, могут удалить cookie-файлы с устройства через настройки используемого браузера.

5.8. Течение срока обработки персональных данных начинается с момента их получения Оператором.
5.8.1. Срок или условия прекращения обработки персональных данных:
• Персональные данные работников Оператора используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве.
• Согласия на обработку персональных данных и согласия персональных данных, разрешенных для распространения прекращаются и уничтожаются по достижению указанных целей и сроков.
• Персональные данные членов Совета Церкви прекращается по истечении трех лет с момента прекращения такого участия.
• Персональные данные контрагентов прекращаются по истечении пяти лет с момента заключения договора;
• Персональные данные волонтёров, священнослужителей хранятся в течении всего указанного срока согласия обработки персональных данных и согласия персональных данных, разрешенных для распространения.
• Прекращение деятельности и (или) ликвидация организации;
• Реорганизация организации;
• Отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ.
5.8.2. Уничтожение персональных данных субъектов персональных данных оператор обязан осуществлять в следующих случаях:
• Выявление неправомерности обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
• Требование субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• Отзыв субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
• Достижение цели обработки персональных данных или утрата необходимости в достижении этих целей;
• Истечение сроков хранения персональных данных, установленных нормативными правовыми актами Российской Федерации и нормативными правовыми актами Мурманской области;
• Признание недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
• В иных случаях, установленных законодательством Российской Федерации.

5.9. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Оператор в договоре обязует лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей политикой и Федеральным законом Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ.
5.10. Способы обработки персональных данных:
• Автоматизированная;
• Без средств автоматизации;
• Смешанная.

6. ИСПРАВЛЕНИЕ, УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ.

6.1. Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором:
• Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
• Субъект персональных данных имеет право требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных законодательством. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственный обеспечивает уничтожение таких персональных данных в течение 10 рабочих дней с даты обращения. При отказе Оператора исключить или исправить персональные данные Субъекта персональных данных он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.
• Субъекты персональных данных имеют право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации. При обращении субъекта персональных данных или при получении его запроса (далее - Обращение) Ответственный обеспечивает предоставление субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 10 (десяти) дней с даты Обращения. Указанный срок может быть продлен не более чем на 5 (пять) рабочих дней по мотивированному уведомлению, которое Оператор должен направить в адрес Субъекта персональных данных. Сведения предоставляются в той форме, в которой направлено соответствующее Обращение, если в нем не указано иное.
• При наличии законных оснований для отказа в предоставлении субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными Ответственный обеспечивает направление субъекту персональных данных мотивированного ответа в письменной форме, содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в течение 10 (десяти) дней с даты Обращения.
6.2. Субъект персональных данных обязан:
• Передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
• В случае изменения персональных данных, необходимых для достижения целей обработки, сообщить Оператору уточненные персональные данные и подтвердить изменения оригиналами документов;
• Выполнять требования законодательства Российской Федерации.

6.3. Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.
6.4. В зависимости от типа носителя информации (бумажный или электронный) выделяются два способа уничтожения персональных данных:
• Физическое уничтожение носителя (уничтожение через шредерование, сжигание);
• Уничтожение информации с носителя (многократная перезапись в секторах магнитного диска).

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.

7.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
7.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных.
7.3. Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.
7.4. К настоящей Политике обеспечивается неограниченный доступ.