Информация - сведения (сообщения, данные) независимо от формы их представления.
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных субъектов входят документы, содержащие информацию о паспортных данных, образовании, семейном положении, месте жительства, состоянии здоровья.
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных субъекта – получение, хранение, комбинирование, передача или любое другое использование персональных данных физического лица. Обработка персональных данных субъекта осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренными законодательством РФ и актами организации, а также осуществления основной деятельности организации.
3.2. Организация не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации организация вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия.
Организация не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
При принятии решений, затрагивающих интересы субъекта, организация не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 ФЗ РФ "О персональных данных", обработка персональных данных осуществляется организацией без письменного согласия субъекта, за исключением случаев, предусмотренных федеральным законом.
Получение
3.4. Все персональные данные о субъекте организация может получить у него самого.
3.5. Субъект обязан предоставлять организации достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Организация имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у организации документами.
3.6. В случаях, когда организация может получить необходимые персональные данные субъекта только у третьей стороны, организация должна уведомить об этом субъекта и получить от него письменное согласие по установленной форме.
Примечание: Согласия субъекта на получение его персональных данных от третьих лица не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с организацией; когда третьи лица оказывают услуги организации на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
Организация обязана сообщить субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
Хранение персональных данных субъекта
3.7. Персональные данные субъекта хранятся в едином банке данных (центр обработки данных (ЦОД)), который отвечает за взаимодействие с субъектом.
3.8. Сотрудник организации, имеющий доступ к персональным данным субъектов в связи с исполнением трудовых обязанностей:
Обеспечивает хранение информации, содержащей персональные данные субъекта, исключающее доступ к ним третьих лиц.
В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные субъектов (соблюдение "политики чистых столов").
При уходе в отпуск, служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные субъектов лицу, на которое локальным актом организации (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
Примечание: В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные субъектов, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя структурного подразделения.
При увольнении сотрудника, имеющего доступ к персональным данным субъектов, документы и иные носители, содержащие персональные данные субъектов, передаются другому сотруднику, имеющему доступ к персональным данным субъектов по указанию руководителя структурного подразделения.
Использование (доступ, передача, комбинирование и т.д.) персональных данных субъекта
3.9. Доступ к персональным данным субъекта имеют сотрудники организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников к персональным данным утверждается приказом по организации.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя организации, доступ к персональным данным субъекта может быть предоставлен иному сотруднику, который не включен в приказ, который назначает ответственных сотрудников для доступа к персональным данным субъекта, и которым они необходимы в связи с исполнением трудовых обязанностей.
3.10. В случае если организации оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным субъектов, то соответствующие данные предоставляются организацией только после подписания с ними соглашения о неразглашении конфиденциальной информации.
В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных субъекта.
3.11. Процедура оформления доступа к персональным данным включает в себя:
ознакомление сотрудника под роспись с настоящим Положением.
Примечание: При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта, с данными актами также производится ознакомление работника под роспись.
истребование с сотрудника (за исключением руководителей организации) письменного обязательства о соблюдении конфиденциальности персональных данных субъекта и соблюдении правил их обработки, подготовленного по установленной форме.
3.12. Сотрудники организации, имеющие доступ к персональным данным субъектов, имеют право получать только те персональные данные субъекта, которые необходимы им для выполнения конкретных трудовых функций.
3.14. Допуск к персональным данным субъектов других сотрудников организации, не имеющих надлежащим образом оформленного доступа, запрещается.
3.15. Сотрудник имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законом), содержащей его персональные данные. Сотрудник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.
3.16. Передача (обмен и т.д.) персональных данных между подразделениями организации осуществляется только между сотрудниками, имеющими доступ к персональным данным субъектов.
Доступ к персональным данным субъекта третьих лиц (физических и юридических)
3.18. Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, которое оформляется по установленной форме и должно включать в себя:
фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование и адрес организации, получающего согласие субъекта;
цель передачи персональных данных;
перечень персональных данных, на передачу которых дает согласие субъект;
срок, в течение которого действует согласие, а также порядок его отзыва.
Примечание: Согласия субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта; когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с организацией; когда третьи лица оказывают услуги организации на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
3.19. Не допускается передача персональных данных субъекта в коммерческих целях без его письменного согласия, оформленного по установленной форме.
Примечание: Согласия субъекта на передачу его персональных данных третьим лицам не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с организацией; когда третьи лица оказывают услуги организации на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
3.20. Сотрудники организации, передающие персональные данные субъектов третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные субъектов. Акт составляется по установленной форме, и должен содержать следующие условия:
уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.
Передача документов (иных материальных носителей), содержащих персональные данные субъектов, осуществляется при наличии у лица, уполномоченного на их получение:
договора на оказание услуг организации;
соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных субъекта;
письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные субъекта, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных субъекта несет сотрудник организации, а также руководитель структурного подразделения, осуществляющего передачу персональных данных субъекта третьим лицам.
3.21. Представителю субъекта (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:
нотариально удостоверенной доверенности представителя субъекта;
письменного заявления субъекта, написанного в присутствии сотрудника отдела кадров организации (если заявление написано субъектом не в присутствии сотрудника отдела кадров, то оно должно быть нотариально заверено).
Доверенности и заявления хранятся в отделе кадров в личном деле субъекта.
3.22. Предоставление персональных данных субъекта государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
3.23. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.
3.24. Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
4. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается организацией.
4.2. Общую организацию защиты персональных данных лиц осуществляет ________________.
4.3. Ответственный сотрудник обеспечивает:
ознакомление сотрудников, которые участвуют в обработке персональных данных, под роспись с настоящим Положением.
При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных субъекта, с данными актами также производится ознакомление сотрудника под роспись.
истребование с сотрудников (за исключением лиц, указанных в пункте 3.13 настоящего Положения) письменного обязательства о соблюдении конфиденциальности персональных данных субъекта и соблюдении правил их обработки.
общий контроль за соблюдением сотрудниками организации мер по защите персональных данных субъекта.
4.4. Организацию и контроль за защитой персональных данных физических лиц в структурных подразделениях организации, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
4.5. Защите подлежит:
информация о персональных данных субъекта;
документы, содержащие персональные данные субъекта;
персональные данные, содержащиеся на электронных носителях.
4.6. Защита сведений, хранящихся в электронных базах данных организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системой защиты персональных данных.
5. ПРАВА УЧАСТНИКОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Сотрудник организации имеет право:
5.1.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные сотрудника.
5.1.2. Требовать от организации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для организации персональных данных.
5.1.3. Получать от организации
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.1.3. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия организации при обработке и защите его персональных данных.
5.2. Субъект, персональные данные которого обрабатываются в организации, имеет право:
5.1.1. Получать доступ к своим персональным данным и ознакомление с ними.
5.1.3. Получать от организации
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия организации при обработке и защите его персональных данных.
|
