Положение об обработке и защите персональных данных
1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных (далее -Положение) Открытого акционерного общества «Железобетонные конструкции №1» (далее - Оператор) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 №:687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативными правовыми актами, локальными организационно-распорядительными и иными документам Оператора по вопросам защиты информации.
Действие настоящего Положения распространяется на отношения, связанные с обработкой персональных данных, осуществляемой Оператором. Сфера действия данных отношений определяется границами, указанными в ст. 1 Федерального закона «О персональных данных».
1.2. Основными целями настоящего Положения являются:
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны;
- определение порядка и правил обработки персональных данных субъектов персональных данных на основании действующих полномочий Оператора и выполняемых им функций;
- определение порядка организации работы по обеспечению безопасности персональных данных при их обработке;
- определение порядка допуска работников к обработке персональных данных;
- определение прав и обязанностей должностных лиц Оператора и его работников по обработке персональных данных;
- установление ответственности должностных лиц Оператора и его работников за неисполнение или ненадлежащее исполнение порядка и правил обработки персональных данных, требований законодательства, нормативных правовых актов и иных документов по обеспечению безопасности персональных данных при их обработке;
- определение порядка обжалования субъектом персональных данных на действие и/или бездействие Оператора и его сотрудников при нарушении ими требований действующего законодательства по вопросам обеспечения безопасности персональных данных при их обработке.
1.3. Настоящее Положение вступает в законную силу с момента его утверждения приказом генерального директора и действует бессрочно до замены его новым
2
Положением. Все изменения в настоящее Положение вносятся приказом генерального директора.
1.4. Положение предназначено для использования работниками Оператора при организации и осуществлении обработки персональных данных.
Работники, допущенные к работе с персональными данными, в обязательном порядке должны быть ознакомлены с настоящим Положением и вносимыми в него изменениями под роспись.
1.5. В соответствии со ст. 14 Федерального закона «О персональных данных» субъекты, персональные данные которых обрабатываются Оператором, имеют право ознакомиться с настоящим Положением в части их касающейся.
2. Основные понятия и состав персональных данных
2.1. Для целей настоящего Положения используются следующие основные понятия:
- работник - физическое лицо (субъект персональных данных), заключившее трудовой договор с Оператором и находящееся с ним в трудовых отношениях;
- субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные. В рамках данного Положения указанный термин рассматривается как обобщенное понятие, включающее в себя работников Оператора, являющихся субъектами персональных данных, и иных лиц, персональные данные которых подлежат обработке на основании полномочий Оператора;
- персональные данные субъекта персональных данных - любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, состояние здоровья, другая информация, необходимая для достижения Оператором целей обработки персональных данных на основании имеющихся у него полномочий;
- персональные данные работника - любая информация, относящаяся к работнику Оператора, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, состояние здоровья, другая информация, необходимая для достижения Оператором целей обработки персональных данных в связи с трудовыми отношениями между ним и его работником;
- обработка персональных данных - сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- не автоматизированная обработка персональных данных - обработка
персональных данных, осуществляемая без использования средств автоматизации;
- информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- использование персональных данных - действия (операции) с персональными данными, совершаемые работником Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- передача (распространение, предоставление, доступ) персональных данных действия, направленные на передачу персональных данных определенному кругу лиц или
3
на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2.2. Оператор обрабатывает следующие виды документов, содержащие персональные данные:
- документы, используемые в процессе оформления трудовых отношений при приеме на работу, переводе, увольнении;
- материалы, используемые для анкетирования, тестирования, проведения собеседования с кандидатом на должность;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки работников;
- дела, содержащие документы и материалы, являющиеся основанием для подготовки проектов приказов по личному составу;
- дела, содержащие материалы аттестации работников;
- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководителю Оператора, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, и другие Организации;
- материалы, используемые для обеспечения пропускного и внутри объектового режимов;
- документы необходимые для записи граждан на прием по личным вопросам и регистрации их обращений;
- документы необходимые для выполнения Оператором своих основных функций (производственная деятельность, оказание услуг, обеспечение функционирования и др.).
3. Цель, основные принципы, задачи и основы организации обработки персональных данных
3.1. Оператор осуществляет обработку персональных данных в соответствии с действующим законодательством Российской Федерации, нормативными правовыми актами, организационно-распорядительными документами Оператора и иными документами в области защиты информации в целях:
- выполнения своих полномочий и функций, а также исполнения действующих
4
договоров по основному виду деятельности;
- формирования своей организационной структуры и кадрового обеспечения, в том числе организации профессиональной подготовки, переподготовки, повышения квалификации и стажировки кадров, содействия в продвижении по службе и обеспечения личной безопасности своих работников;
- осуществления эффективного управления и контроля за своей деятельностью;
- формирования организационной, правовой, практической и методической базы своей деятельности.
3.2. Обработка персональных данных осуществляется на основе следующих принципов:
- осуществление обработки персональных данных на законной и справедливой основе;
- законность целей обработки персональных данных;
- недопущение объединения баз данных, содержащих персональных данные, обработка которых осуществляется в целях, несовместимых между собой;
- осуществление обработки только тех персональных данных, которые соответствуют целям их обработки Оператором;
- соответствие содержания и объема обрабатываемых персональных данных заявленным целям их обработки, недопущение избыточности персональных данных по отношению к заявленным целям их обработки;
- обеспечение точности и достаточности персональных данных при их обработке, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
- осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Осуществление уничтожения либо обезличивания обрабатываемых персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.3. Для достижения целей обработки персональных данных Оператор решает следующие задачи:
- разработка и внедрение в практическую деятельность организационно-распорядительных и иных документов по вопросам организации обработки персональных данных и обеспечения безопасности персональных данных при их обработке;
- назначение ответственных лиц по вопросам обработки персональных данных, обеспечения безопасности персональных данных при их обработке, осуществления контроля принимаемых мер и проводимых мероприятий по указанным видам деятельности;
- организация деятельности по вопросам обработки персональных данных и обеспечения безопасности персональных данных при их обработке, разработка и реализация мер по повышению их эффективности;
- выделение необходимых финансовых средств на проведение обработки персональных данных и мероприятий по защите информации;
- обучение должностных лиц и работников по вопросам обработки персональных данных и защиты информации, в том числе для обеспечения безопасности персональных данных при их обработке;
- осуществление контроля по вопросам обработки персональных данных и обеспечения безопасности персональных данных при их обработке в соответствие с требованиями законодательства, нормативных правовых актов и иных документов.
3.4. Оператор принимает необходимые и достаточные меры для обеспечения
5
выполнения обязанностей оператора, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами и иными документами по вопросам защиты информации.
Координацию деятельности Оператора по вопросам обработки персональных данных, обеспечения безопасности персональных данных при их обработке, контроля принимаемых мер и проводимых мероприятий по указанным видам деятельности возглавляет руководитель.
Руководитель принимает правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Организация работы по обработке персональных данных и обеспечению безопасности персональных данных при их обработке осуществляется через структурные подразделения Оператора и/или уполномоченных лиц.
В зависимости от объема выполняемых работ по вышеуказанным видам деятельности руководитель назначает уполномоченных лиц из числа работников Оператора:
ответственных за организацию обработки персональных данных - ответственное лицо за организацию обработки персональных данных;
ответственных за обеспечение безопасности персональных данных при их обработке -администратор информационной безопасности информационной системы персональных данных (далее - ИСПДн);
ответственных за обработку персональных данных - пользователь ИСПДн;
иных ответственных лиц за обработку и обеспечение безопасности персональных данных.
Организационно-распорядительными и иными документами Оператора определяется количество вышеуказанных лиц, определяются их права и обязанности, устанавливается ответственность за нарушения порядка и правил обработки персональных данных, требований по обеспечению безопасности персональных данных при их обработке, а также контролю принимаемых мер и проводимых мероприятий по указанным видам деятельности.
В отдельных случаях, разрешается совмещение обязанностей вышеуказанных ответственных лиц, но при обязательном соблюдении следующих условии:
- функции исполнения и контроля по одному и тому же направлению деятельности не могут быть возложены на одно и тоже лицо;
- должны быть соблюдены правила служебных отношений в соответствии с подчиненностью, служебным положением (субординация).
3.5. В исключительных случаях Оператор может назначить уполномоченным иное лицо, не являющееся работником Оператора, заключив с ним соответствующий договор. При заключении и выполнении условий указанного договора сторонами должны выполняться требования законодательства, нормативных правовых актов и иных документов по вопросам защиты информации.
4. Согласие субъекта персональных данных на обработку его персональных данных
4.1. В соответствии с требованиями Федерального закона «О персональных данных» обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
4.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным,
6
информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
4.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
4.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия, данного субъектом персональных данных, в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
4.5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
4.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
5. Обработка и защита персональных данных
5.1. Оператор получает ПДн непосредственно от субъекта персональных данных. Если ПДн могут быть получены только у третьей стороны, то субъект персональных данных
уведомляется об этом заранее, и от него должно быть получено письменное согласие. Оператор сообщает субъекту персональных данных о целях, предполагаемых источниках и
способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
5.2. Субъект персональных данных обязан предоставлять Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, предоставленные субъектом ПДн, с имеющимися у субъекта ПДн документами.
5.3. Оператор не имеет права получать и обрабатывать ПДн о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных ч.2 ст. 10 Федерального закона «О персональных данных».
5.4. Оператор не имеет права получать и обрабатывать ПДн о членстве субъекта персональных данных в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
5.5. Информация о состоянии здоровья работника может запрашиваться только в отношении тех сведений, которые необходимы для решения вопроса о возможности выполнения работником трудовой функции.
5.6. Оператор вправе обрабатывать общедоступные персональные данные конкретного субъекта ПДн без его согласия.
5.7. Накопление ПДн происходит в результате деятельности Оператора путем:
- получения оригиналов документов (паспорт, трудовая книжка, автобиография и пр.);
- получения копий оригиналов документов;
- получения ПДн иными способами, в том числе путем внесения сведений в учетные формы (на бумажные носители и в базы данных ИСПДн).
5.8. Обработка ПДн производится только должностными лицами, допущенными к обработке ПДн.
5.9. В процессе обработки ПДн Оператором применяются следующие методы:
- неавтоматизированная обработка;
- автоматизированная обработка.
7
5.10. Неавтоматизированная обработка ПДн может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
5.11. При неавтоматизированной обработке различных категорий ПДн используется отдельный материальный носитель для каждой категории ПДн.
5.12. При неавтоматизированной обработке ПДн на бумажных носителях:
- не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы;
- ПДн обособляются от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие ПДн, формируются в дела в зависимости от цели обработки ПДн;
5.13. Неавтоматизированная обработка ПДн в электронном виде осуществляется с применением организационных и технических мер, исключающих возможность несанкционированного доступа к ПДн лиц, не допущенных к их обработке.
5.14. При несовместимости целей неавтоматизированной обработки ПДн, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:
а) при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;
б) при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
5.15. Документы и внешние электронные носители информации, содержащие ПДн, должны храниться в служебных помещениях в надежно запираемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
5.16. Автоматизированная обработка ПДн осуществляется Оператором с использованием ИСПДн «Бухгалтерский учет и кадры», «СКУД», «ЛВС».
5.17. Не допускается обработка ПДн в ИСПДн с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора безопасности информационных систем, и других нормативных и методических документов;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной 5.11. Уничтожение или обезличивание части ПДн, сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
- защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;
- охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.
5.18. Ввод ПДн в ИСПДн Оператора осуществляется должностным лицом, допущенным к обработке ПДн, и в соответствии с его должностными обязанностями.
5.19. При работе с программными средствами ИСПДн Оператора, реализующими функции просмотра и редактирования ПДн, запрещается демонстрация экранных форм,
8
содержащих такие данные, лицам, не имеющим соответствующих должностных обязанностей.
5.20. Хранение ПДн в автоматизированной ИСПДн Оператора осуществляется на носителях с использованием специализированного программного обеспечения, отвечающего требованиям безопасности и доступ к которым ограничен.
5.21. ПДн хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечению установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении.
5.22. Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
5.23. Вынос резервных и технологических копий баз данных ИСПДн, содержащих информацию персонального характера, запрещен. Передача и копирование резервных и технологических копий баз данных допустима только для прямого использования с целью технологической поддержки ИСПДн.
6. Соблюдение конфиденциальности при обработке персональных данных
6.1. Оператором, работниками Оператора и третьими лицами, получившими доступ к персональным данным, обеспечивается их конфиденциальность, за исключением случаев, предусмотренных в п. 6.2 настоящего Положения.
6.2. Обеспечение конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
7. Общедоступные источники персональных данных
7.1. В целях информационного обеспечения деятельности Оператора создаются общедоступные источники персональных данных, такие как доска почета, доска объявлений, расписание работы, справочники, адресные книги, официальный интернет-сайт Оператора и др.
В общедоступные источники персональных данных включаются персональные данные работника только с его письменного согласия. К таким персональным данным могут относиться:
- Ф.И.О. работника;
- дата рождения;
- занимаемая должность;
- специальность по основной деятельности;
- специальность по диплому;
- ученая степень;
- наименование учебного заведения, в котором работник проходил обучение;
- год получения диплома;
- стаж работы;
- сведения о наградах и почетных званиях;
- сведения о сертификатах и научных работах;
- сведения о трудовой деятельности;
- другие общие сведения по профессиональной деятельности;
- иные персональные данные, предоставляемые субъектом персональных данных.
7.2. Обработка общедоступных персональных данных, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, содержащихся в общедоступных источниках, а также получение письменного согласия субъекта персональных данных осуществляется Оператором.
9
7.3. В целях организационного обеспечения и надлежащего функционирования деятельности Оператора создаются общедоступные организационно-распорядительные документы по кадровой, бухгалтерской и профильной деятельности Оператора, содержащие персональные данные работников.
7.4. Сведения о персональных данных работника должны быть исключены из общедоступных источников персональных данных, после получения Оператором соответствующего письменного требования работника либо решений суда или иных уполномоченных государственных органов.
8. Особенности передачи персональных данных субъекта персональных данных третьим лицам
8.1. Доступ со стороны третьих лиц к персональных данным осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством Российской Федерации.
8.2. Оператор обязан сообщать сведения, содержащие персональные данные, в порядке, установленном законодательством по надлежаще оформленным запросам суда, прокуратуры и правоохранительных органов.
8.3. При передаче персональных данных Оператор соблюдает следующие условия:
- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством Российской Федерации;
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупреждать лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что указанные цели обработки персональных данных соблюдены;
- осуществлять передачу персональных данных субъектов персональных данных в пределах и за пределы организации Оператора в соответствии с настоящим Положением;
- разрешать доступ к персональным данным, только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции;
- передавать персональные данные субъектов персональных данных его представителям в порядке, установленном федеральным законодательством и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций;
- в случае передачи (поручения) обработки персональных данных третьему лицу (другой организации), в обязательном порядке заключать договор-поручение с третьим лицом, в соответствии с требованиями предусмотренными ч. 3, 4 и 5 ст. 6 Федерального закона «О персональных данных».
9. Типовые формы
9.1. В соответствие п. 7 постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
1) типовая форма обрабатывается вместе со связанными с ней документами:
10
инструкция по заполнению типовой формы, реестры и журналы;
2) типовая форма заполняется в соответствии с Инструкцией по заполнению типовых форм, в которой содержатся:
- цели обработки персональных данных;
- наименование адреса Оператора;
- фамилия, имя, отчество и адрес работника;
- источник получения персональных данных;
- сроки обработки персональных данных;
- перечень действий с персональными данными, которые совершаются в процессе обработки;
- общее описание обработки.
3) типовая форма должна предусматривать поле, в котором работник может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
4) типовая форма должна быть составлена таким образом, чтобы каждый из работников, персональные данные которого содержатся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных работников;
5) типовая форма исключает объединение полей, предназначенных для заполнения персональными данными, если цели их обработки заведомо не совместимы.
9.2. В своей деятельности Оператор использует следующие типовые формы: трудовой договор, журналы учёта, пропуска, бухгалтерские и кадровые документы (Т-2 и т.д.), путевые листы, доверенности, договор подряда, договор на оказание услуг и т.п.
10. Порядок работы с обращениями граждан, содержащими персональные данные
10.1. Обработка персональных данных граждан, содержащихся в обращении к Оператору, осуществляется в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан РФ» и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Условия такой обработки персональных данных определяются п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных».
10.2. Обработка персональных данных, содержащихся в обращениях граждан (предложения, заявления, жалобы, запросы и др. информация) и ответах на них, осуществляется без использования средств автоматизации, путем внесения записей в соответствующие бумажные носители персональных данных - журнал регистрации заявлений для передачи в архив и расчетный сектор.
Обработка данной категории ПДн осуществляется секретарем руководителя Оператора.
Ответы на обращения граждан, содержащие персональные данные, регистрируются в журнале учета выдачи справок о стаже работы, месте работы.
После рассмотрения обращения граждан, содержащих персональные данные, и ответы на них подшиваются в соответствующие дела, согласно номенклатуре дел Оператора, в соответствии с порядком делопроизводства Оператора.
Книги (журналы) и дела должны вестись на основании утвержденной руководителем Оператора номенклатуры дел и(или) на основании приказа, в соответствии с установленным порядком делопроизводства.
По окончании ведения указанные журналы и дела передаются в архив на хранение, и уничтожаются по истечении сроков их хранения в соответствии с действующим законодательством Российской Федерации, нормативными правовыми актами в области
11
архивного дела.
10.3. В соответствии с требованиями законодательства архивные материалы должны храниться в специализированном помещении для архива с соблюдением условий, обеспечивающих сохранность материальных носителей персональных данных и исключающие несанкционированный к ним доступ.
11. Права субъекта персональных данных и порядок обращения субъекта персональных данных к оператору
11.1. Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора его персональных данных, а также на ознакомление с такими персональными данными.
Субъект вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
11.2. Сведения о наличии персональных данных должны быть предоставлены Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам.
11.3. Доступ к своим персональным данным предоставляется субъекту или его законному представителю при обращении либо при получении Оператором запроса от субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Законный представитель субъекта представляет Оператору документ, подтверждающий его полномочия.
11.4. Субъект имеет право на получение при обращении к Оператору, следующих
сведений:
- подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
- способы обработки персональных данных, применяемые Оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения.
11.5. Запрос субъекта персональных данных (его законного представителя) должен быть рассмотрен Оператором в течение не более 30 (тридцати) дней с даты получения указанного запроса. Ответ направляется субъекту персональных данных по адресу указанному в запросе при помощи заказной корреспонденции или вручается субъекту лично или законному представителю. Также ответ на запрос субъекта может быть направлен посредством электронной почты, если это прямо указано в запросе.
Также в течение указанного выше срока, Оператор обязан предоставить субъекту возможность ознакомления с его персональными данными или его законному представителю, если это указано в полученном Оператором запросе.
Если запрос субъекта связан с внесением изменений в его персональные данные в связи с тем, что персональные данные являются неполными, устаревшими, недостоверными, то в таком запросе субъект персональных данных, должен указать какие именно персональные данные изменяются или уточняются.
12
Если для внесения изменений в персональные данные необходимы подтверждающие документы, субъект прикладывает к своему запросу об изменении персональных данных доказательства, на основании которых Оператор должен внести изменения или уточнить персональные данные.
В случае отсутствия доказательств, на которые ссылается субъект, Оператор оставляет персональные данные в неизменном виде. Внесение изменений или уточнение персональных данных Оператором должны быть выполнены в течение 10 (десяти) рабочих дней с даты поступления надлежаще оформленного запроса.
Изменения, уничтожение или блокирование персональных данных соответствующего субъекта осуществляется на безвозмездной основе.
О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта или его законного представителя.
12. Обжалование субъектом персональных данных действия или бездействия оператора
12.1. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований действующего законодательства или иным образом нарушает его права и свободы, субъект вправе обжаловать действия или бездействие Оператора в установленном законом порядке.
13. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
13.1. В случае выявления недостоверных персональных данных или неправомерных действий с ними Оператора при обращении или по запросу субъекта персональных данных или его законного представителя, Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента такого обращения.
В случае если факт недостоверности персональных данных подтвердился, Оператор на основании документов, представленных субъектом персональных данных или его законным представителем обязан уточнить персональные данные и снять их блокирование.
13.2. В случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные, если иное не предусмотрено в соглашение (согласие) или действующим законодательством Российской Федерации.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.
13.3. В случае достижения цели обработки персональных данных Оператор обязан незамедлительно прекратить обработку персональных данных субъекта и уничтожить соответствующие персональные данные. Уничтожение персональных данных осуществляется по истечении сроков хранения, установленные действующим законодательством Российской Федерации. Также персональные данные после достижения цели обработки, могут быть помещены в архив (электронный или документарный).
13.4. В случае отзыва субъекта согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные, если иное не установлено в согласии между Оператором и субъектом или действующим законодательством Российской Федерации.
13
14. Ответственность за нарушение норм, Регулирующих обработку и защиту персональных данных
14.1. Ответственность за утрату материальных носителей персональных данных, содержащих персональные данные, или разглашение сведений, содержащихся в них, персонально несет каждый работник в соответствии с действующим законодательством Российской Федерации и локальными организационно-распорядительными документами Оператора.
14.2. По фактам утраты материальных носителей, содержащих персональные данные, и/или разглашения персональных данных, обрабатываемых Оператором, ставится в известность руководитель, который своим приказом образовывает (создает) комиссию для проведения служебного расследования по указанным фактам.
14.3. Комиссия, устанавливает обстоятельства происшествия и виновных в утрате (разглашении), а также причины и условия, способствующие этому.
14.4 Служебное расследование проводится в срок не более одного месяца со дня обнаружения факта утраты (разглашения). Результаты расследования докладываются руководителю, назначившему комиссию. На утраченные документы составляется акт, на основании которого делаются соответствующие отметки в учетных формах.
По результатам расследования лица виновные в нарушении норм, регулирующих обработку и защиту персональных данных, могут быть привлечены к дисциплинарной или иной (административной, уголовной) ответственности, предусмотренной действующим законодательством Российской Федерации.
14.5. Работники, определенные руководителем Оператора, в должностных обязанностях (инструкциях, регламентах) которых указано, что они допущены к обработке персональных данных, несут персональную ответственность за нарушение порядка обработки и режима защиты персональных данных в соответствии с законодательством Российской Федерации.