Политика конфиденциальности
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНАВЛИВАЮЩИЕ ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ ОПРЕДЕЛЯЮЩИЕ ДЛЯ КАЖДОЙ ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОДЕРЖАНИЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ, СРОКИ ИХ ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК УНИЧТОЖЕНИЯ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
Перечень сокращений:
ПДн Персональные данные
Оператор Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
НСД Несанкционированный доступ
АИС Автоматизированная информационная система ИСПДн Информационная система персональных данных СКЗИ Средство криптографической защиты информации АРМ Автоматизированное рабочее место
Правила Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
Общество ООО «Данцер»
Термины и определения:
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом (лицами) Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Конфиденциальность персональных данных — обязанность Общества и его сотрудников не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных без использования средств автоматизации (неавтоматизированная) — обработка персональных данных соответствующая характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяющая осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила разработаны в соответствии с:
• Статьей 24 Конституции Российской Федерации;
• Главой 14 Трудового Кодекса Российской Федерации;
• Федеральным законом Российской Федерации No 152-ФЗ «О персональных данных» от 27.07.2006;
• Федеральным законом No 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006;
• Постановлением Правительства РФ от 01.11.2012 No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановлением Правительства РФ от 15.09.2008 No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 No 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».
• Приказом ФСТЭК России от 11.02.2013 No 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Приказом ФСТЭК России от 18.02.2013 No 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.2. Цель разработки документа — определение порядка обработки ПДн субъектов ПДн; обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн, а также установление ответственности должностных лиц, имеющих доступ к ПДн субъектов, за невыполнение требований норм, регулирующих обработку и защиту ПДн.
1.3. Порядок ввода в действие и изменения Правил.
1.3.1 Настоящие Правила вступают в силу с момента их утверждения Руководителем Общества и действуют бессрочно, до замены их новыми Правилами.
1.3.2 Все изменения в Правила вносятся приказом.
2. СОСТАВ, КАТЕГОРИИ И СОДЕРЖАНИЕ ПДн
2.1 Персональные данные, обрабатываемые в Обществе, относятся к сведениям конфиденциального характера (конфиденциальной информации).
2.2 В Обществе обрабатываются ПДн следующих субъектов ПДн: • сотрудники Общества;
• субъекты ПДн, не являющиеся сотрудниками Общества.
3. ОСНОВНЫЕ УСЛОВИЯ ПРОВЕДЕНИЯ ОБРАБОТКИ ПДн
3.1.Обработка ПДн осуществляется после получения согласия субъекта ПДн, за исключением случаев, предусмотренных частью 3.2 настоящих Правил.
3.2. Согласие субъекта ПДн, предусмотренное п.3.1 настоящих Правил не требуется в следующих случаях:
2) обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
3) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
5) обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
3.3. Письменное согласие субъекта ПДн должно включать:
1) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
3) наименование или фамилию, имя, отчество и адрес Оператора;
4) цель обработки ПДн;
5) перечень ПДн, на обработку которых дается согласие субъекта ПДн;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;
7) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта ПДн.
3.4.Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных п. 3.5 настоящих Правил.
3.5. Обработка специальных категорий ПДн допускается в случаях, если: 1) субъект ПДн дал согласие в письменной форме на обработку своих ПДн; 2) ПДн сделаны общедоступными субъектом ПДн;
3) обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
5) обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
6) обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
7) обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
3.6.Лица, допущенные к обработке ПДн, в обязательном порядке под роспись знакомятся с требованиями настоящих Правил.
3.7. Запрещается:
− обрабатывать ПДн в присутствии лиц, не допущенных к их обработке;
− осуществлять ввод ПДн под диктовку (голосовой ввод).
4. ОБРАБОТКА ПДн
Обработка ПДн подразделяется на:
• обработка ПДн в ИСПДн;
• обработка ПДн, осуществляемая без использования средств автоматизации.
4.1. Обработка ПДн в ИСПДн
4.1.1 Обработка ПДн в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
• Не допускается обработка ПДн в ИСПДн с использованием средств автоматизации, если применяемые меры и средства обеспечения безопасности не соответствуют требованиям, утвержденным Постановлением Правительства Российской Федерации от 01.11.2012
No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Обработка ПДн с использованием средств автоматизации осуществляется в рамках ИСПДн Общества и внешних информационных систем, предоставляемых сторонними организациями. Состав ИСПДн Общества определяется «Перечнем информационных систем персональных данных», утверждаемым руководителем Общества.
4.2. Обработка ПДн, осуществляемая без использования средств автоматизации
4.2.1 Лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе сотрудники Общества или лица, осуществляющие такую обработку по договору с Обществом), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется Обществом без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Общества.
4.2.2 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее — типовая форма), должны соблюдаться следующие условия:
• типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации; имени (наименовании) и адресе Общества; фамилию, имя, отчество и адрес субъекта ПДн; источник получения ПДн; сроки обработки ПДн; перечень действий с ПДн, которые будут совершаться в процессе их обработки; общее описание используемых Обществом способов обработки ПДн;
• типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку ПДн;
• типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
5. ОСНОВНЫЕ ЭТАПЫ ОБРАБОТКИ ПДн 5.1. Получение ПДн
5.1.1. Общество получает ПДн непосредственно от субъекта ПДн или от законных представителей субъектов, наделенных соответствующими полномочиями.
5.1.2. Субъект ПДн обязан предоставлять Обществу достоверные сведения о себе. Общество имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у Общества документами.
Предоставление субъектом ПДн — сотрудником Общества подложных документов или заведомо ложных сведений при заключении трудового договора является основанием для расторжения трудового договора в соответствии с пунктом 11 части первой статьи 81 Трудового кодекса Российской Федерации.
При изменении ПДн субъект ПДн — сотрудник Общества письменно уведомляет Общество о таких изменениях в разумный срок, не превышающий 14 дней с момента изменений. Данное обязательство не распространяется на изменение ПДн, предоставление которых требует соответствующее согласие сотрудника.
5.1.3. Еcли обязанность предоставления ПДн установлена федеральным законом, сотрудники Общества обязаны разъяснить субъекту ПДн юридические последствия отказа предоставить свои ПДн.
5.1.4. Если ПДн получены не от субъекта ПДн, Общество, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона Российской Федерации от 27.07.2006 No 152-ФЗ «О персональных данных», до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки ПДн и ее правовое основание;
3) предполагаемые пользователи ПДн;
4) установленные федеральным законом права субъекта ПДн;
5) источник получения ПДн.
5.1.5. Общество освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные п. 5.1.4, в случаях, если:
1) субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
2) ПДн получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
3) ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника.
5.2. Хранение ПДн
5.2.1. Персональные данные субъектов ПДн хранятся на материальных носителях (бумажные, электронные носители), в том числе и на внешних (съемных) электронных носителях в ИСПДн.
5.2.2. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками Общества, осуществляющими данную работу в соответствии со своими должностными обязанностями, зафиксированными в их должностных инструкциях (регламентах).
5.2.3. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование.
5.2.4. При работе с документами, содержащими ПДн, запрещается оставлять их на рабочем месте или оставлять шкафы (сейфы) с данными документами открытыми (незапертыми) в случае выхода из рабочего помещения.
5.2.5. В конце рабочего дня все документы, содержащие ПДн, должны быть убраны в шкафы (сейфы).
5.2.6. Хранение документов, содержащих ПДн сотрудников Общества, должно осуществляться следующим образом:
• Личные дела сотрудников, картотеки, учетные журналы и книги учета хранятся в запирающихся шкафах;
• Трудовые книжки хранятся в несгораемом сейфе;
• Бланки документов, ключи от рабочих шкафов сотрудников отдела организационной правовой работы и кадров хранятся у ответственного лица, назначенного руководителем отдела;
• Хранение ПДн субъектов ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами Общества;
• ПДн субъектов ПДн хранятся в отделах (подразделениях) Общества, которые отвечают за взаимодействие с субъектами;
• ПДн на бумажных носителях должны находиться в помещениях Общества в сейфах, металлических или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа;
• Доступ к ИСПДн, содержащим ПДн, должен обеспечиваться с использованием средств защиты от несанкционированного доступа и копирования;
• Все электронные носители ПДн должны быть учтены. Учет внешних съемных электронных носителей информации, содержащих ПДн, осуществляется в подразделениях, осуществляющих обработку ПДн.
5.2.7. Сотрудник, имеющий доступ к ПДн сотрудников Общества в связи с исполнением трудовых обязанностей:
• обеспечивает хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц;
• при уходе в отпуск, нахождении в служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте он обязан передать документы и иные носители, содержащие ПДн, лицу, на которое приказом или распоряжением Общества будет возложено исполнение его трудовых обязанностей.
Примечание 1. В случае если такое лицо не назначено, документы и иные носители, содержащие ПДн, передаются другому работнику, имеющему доступ к ПДн по указанию руководителя структурного подразделения.
Примечание2. Сотрудники отдела организационной правовой работы и кадров, осуществляющие ведение личных дел сотрудников Общества, обязаны обеспечивать конфиденциальность сведений, содержащихся в личных делах сотрудников Общества.
Примечание 3. Сотрудники отдела организационной правовой работы и кадров, осуществляющие ведение личных дел сотрудников Общества, обязаны ознакамливать сотрудника Общества с документами своего личного дела не реже одного раза в год, а также по просьбе сотрудника и во всех иных случаях, предусмотренных законодательством Российской Федерации.
5.2.8. При увольнении сотрудника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, сдаются сотрудником своему непосредственному руководителю.
5.2.9. Режим конфиденциальности ПДн снимается в случаях их обезличивания и по истечении срока их хранения, если иное не определено законом.
5.2.10. После увольнения сотрудника папка «Личное дело сотрудника» перемещается в архив уволенных сотрудников и хранится в архиве 75 лет.
5.3. Порядок учета носителей ПДн
5.3.1. В Обществе должны быть учтены все машинные и бумажные носители информации, содержащие ПДн.
5.3.2.Для организации учета машинных носителей ПДн каждому носителю присваивается учетный номер. Для этого все машинные носители должны быть промаркированы печатью или наклейкой с инвентарным номером. На носители (компакт-диски и др.), на которые наклеивание ярлыка недопустимо по техническим причинам, реквизиты ярлыка полностью наносятся на диск специальным нестираемым маркером.
5.3.3.Учет машинных носителей осуществляется по «Журналу учета машинных носителей ПДн».
5.3.4. Ежегодно необходимо проводить инвентаризацию всех носителей информации, на которых хранятся ПДн. Результаты инвентаризации должны документироваться.
5.4. Использование ПДн
5.4.1. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 5.4.2 настоящих Правил.
5.4.2. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
5.4.3. Общество обязано разъяснить субъекту ПДн положение принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения.
5.4.4. С документами, содержащими ПДн сотрудника, которые создаются в Обществе в период трудовой деятельности сотрудника (приказы, служебные записки и т.п.), сотрудник должен быть ознакомлен под роспись.
5.4.5. Исключение или исправление неверных или неполных ПДн сотрудников Общества осуществляют работники отдела организационной правовой работы и кадров по устному требованию сотрудника после предъявления подтверждающих документов.
5.4.6. Копии документов, являющихся основанием для исправления неверных или неполных данных ПДн сотрудников, хранятся в папке «Личное дело сотрудника».
5.5. Лицо, ответственное за организацию обработки ПДн в Обществе
5.5.1. Приказом по Обществу, назначается лицо, ответственное за организацию обработки ПДн в Обществе (далее — Ответственное лицо).
5.5.2. Ответственное лицо получает указания непосредственно от Руководителя Общества и подотчетно ему.
5.5.3. Ответственное лицо обязано:
1) осуществлять внутренний контроль за соблюдением Обществом и его сотрудниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
2) доводить до сведения сотрудников Общества положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
3) организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
5.6. Доступ сотрудников к ПДн субъектов ПДн, обрабатываемым в Обществе
5.6.1. Сотрудники Общества получают доступ к ПДн субъектов ПДн исключительно в объеме, необходимом для выполнения своих должностных обязанностей.
5.6.2. Список сотрудников Общества, имеющих доступ к ПДн, определяется в «Перечне должностей сотрудников ООО «Данцер», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным».
5.6.3. «Перечень должностей сотрудников Общества, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным», разрабатывается и пересматривается по мере необходимости (изменение организационно-штатной структуры, введении новых должностей и т.п.) Ответственным лицом на основании заявок руководителей (начальников) отделов (подразделений).
5.6.4. Работнику, должность которого не включена в «Перечень должностей сотрудников Общества, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным», но которому необходим разовый или временный доступ к ПДн субъектов ПДн в связи с исполнением должностных обязанностей, распоряжением Руководителя Общества может быть предоставлен такой доступ на основании письменного мотивированного запроса непосредственного руководителя сотрудника.
5.6.5. Работник Общества получает доступ к ПДн субъектов ПДн после ознакомления и изучения требований настоящих Правил и иных внутренних нормативных документов Общества по защите персональных данных в части, его касающейся.
5.7. Доступ субъектов ПДн к ПДн, обрабатываемым в Обществе
5.7.1. Субъект ПДн имеет право на свободный доступ к своим ПДн, включая право на получение копии любой записи (за исключением случаев, когда предоставление ПДн нарушает конституционные права и свободы других лиц), содержащей его ПДн. Субъект имеет право вносить предложения по внесению изменений в свои ПДн в случае обнаружения в них неточностей.
5.7.2. Субъект ПДн – сотрудник Общества или его законный представитель, получает доступ к своим ПДн или к иной информации, касающейся обработки его ПДн по запросу в следующее подразделение:
Отдел организационной правовой работы и кадров для выдачи документов, связанных с его трудовой деятельностью (копии приказов о приеме на работу, переводу на другую работу, увольнении с работы, выписок из трудовой книжки, справок о месте работы, периоде работы в Обществе и др.);
5.7.3. Субъект ПДн – иное физическое лицо или его законный представитель, получает доступ к своим ПДн или к иной информации, касающейся обработки его ПДн по запросу Ответственному лицу.
5.7.4. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. В случае направления запроса по почте, он должен содержать нотариально заверенную подпись субъекта ПДн или его законного представителя.
5.7.5. Субъект ПДн имеет право на получение при обращении информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн Обществом;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Обществом способы обработки ПДн;
4) наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные федеральными законами.
5.7.6. Уполномоченные лица обязаны сообщить субъекту ПДн или его законному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя не позднее тридцати рабочих дней с даты получения запроса субъекта ПДн или его законного представителя.
5.7.7. Ответ в адрес субъекта ПДн может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении или курьером (непосредственно в руки адресату под роспись).
5.7.8. В случае отказа в предоставлении субъекту ПДн или его законному представителю при обращении либо при получении запроса субъекта ПДн или его законного представителя информации о наличии ПДн о соответствующем субъекте ПДн, а также таких ПДн, уполномоченные лица обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта ПДн или его законного представителя, либо с даты получения запроса субъекта ПДн или его законного представителя.
5.7.9. Мотивированный ответ в адрес субъекта ПДн может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении или курьером (непосредственно в руки адресату под роспись).
5.7.10.В случае отзыва субъектом ПДн согласия на обработку его ПДн Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн, либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
5.7.11. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Общество обязано осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество обязано осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
5.7.12.В случае подтверждения факта неточности ПДн Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
5.7.13. В случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим по поручению Общества, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества. В случае, если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Общество обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
5.7.14. В случае достижения цели обработки ПДн Общество обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн, либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
5.7.15.Передача (обмен и т.д.) ПДн между отделами (подразделениями) Общества осуществляется только между сотрудниками, имеющими доступ к ПДн субъектов.
5.7.16.При передаче ПДн субъекта сотрудники, осуществляющие передачу, предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
5.7.17.Допуск к ПДн сотрудников Общества, не имеющим надлежащим образом оформленного разрешения, запрещается.
5.8. Регламент обмена/выдачи информации (ПДн субъекта) третьим лицам (физическим и юридическим)
5.8.1. К числу внешних потребителей ПДн Общества в соответствии с нормами действующего законодательства относятся государственные органы:
• налоговые органы;
• правоохранительные органы;
• военкоматы;
• органы социального страхования;
• пенсионные фонды;
• подразделения муниципальных органов управления;
• банк, в который Общество осуществляет перечисление заработной платы в соответствии с заявлением сотрудника;
• судебные органы по запросу субъекта ПДн.
5.8.2.При передаче ПДн субъекта уполномоченные лица должны придерживаться следующих требований:
• Передача ПДн субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, установленных федеральными законами;
• Не допускается передача ПДн субъекта в коммерческих целях без его письменного согласия;
• Передача ПДн по телефону запрещается;
• Сотрудникам Общества, имеющим доступ к ПД, запрещена запись, хранение и вынос за пределы Общества на внешних носителях информации (диски, дискеты, USB флэш- карты и т.п.), передача по внешним адресам электронной почты или размещение в сети Интернет информации, содержащей ПДН субъектов, за исключением случаев, указанных в настоящих Правилах или установленных иными внутренними документами Общества;
• Передача третьим лицам документов (иных материальных носителей), содержащих ПДн субъектов, осуществляется по письменному запросу третьего лица на предоставление ПДн субъекта. Ответы на письменные запросы даются на бланке Общества и в том объеме, который позволяет не разглашать излишних сведений о субъекте ПДн;
• Работники Общества, передающие ПДн субъектов третьим лицам, должны передавать их с обязательным уведомлением лица, получающего эти документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена, и с предупреждением об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами. Уведомление и предупреждение могут быть реализованы путем подписания акта передачи носителей ПДн, в котором приведены указанные условия;
• Представителю субъекта (в том числе адвокату) ПДн передаются в порядке, установленном действующим законодательством и настоящим документом. Информация передается при наличии одного из документов:
• нотариально удостоверенной доверенности представителя субъекта;
• письменного заявления субъекта, написанного в присутствии уполномоченного сотрудника (если заявление написано субъектом не в его присутствии, то оно должно быть нотариально заверено);
• Предоставление ПДн субъекта государственным органам производится в соответствии с требованиями действующего законодательства Российской Федерации;
• ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта без его согласия допускается действующим законодательством РФ;
• Документы, содержащие ПДн субъекта, могут быть отправлены посредством федеральной почтовой связи заказным письмом. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие ПДн, вкладываются в конверт, в документах делается надпись о том, что ПДн, содержащиеся в письме, являются конфиденциальной информацией и не подлежат распространению и (или) опубликованию. Лица, виновные в нарушении требований конфиденциальности, несут ответственность, предусмотренную законодательством Российской Федерации.
5.8.3.Учет переданных ПДн осуществляется в рамках принятых в Обществе правил делопроизводства путем регистрации входящей и исходящей корреспонденции и запросов, как государственных органов, так и структурных подразделений Общества о предоставлении ПДн физических (юридических) лиц либо их представителей. Фиксируются сведения о лицах, направивших такие запросы, дата выдачи ПДн, а также дата уведомления об отказе в предоставлении ПДн (в случае отказа).
5.8.4. В случае, если лицо, обратившееся в Общество с запросом на предоставление ПДн, не уполномочено на получение информации, относящейся к ПДн, уполномоченные лица Общества обязаны отказать данному лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция). В случае, если запрашивались ПДн сотрудника Общества, копия уведомления также подшивается в личное дело сотрудника, ПДн которого не были предоставлены.
5.9. Уничтожение ПДн
5.9.1.ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.9.2.Уничтожение ПДн, не подлежащих архивному хранению, осуществляется только комиссией в составе представителя подразделения (или сотрудника), ответственного за защиту ПДн и представителя структурного подразделения, в чьем ведении находятся указанные ПДн. По результатам уничтожения должен оформляться Акт.
6. ОТВЕТСВЕННОСТЬ
6.1. С правилами работы и хранения конфиденциальной информации о ПДн в обязательном порядке должны быть ознакомлены все работники Общества, подписав лист ознакомления с настоящими Правилами.
6.2. Сотрудник, которому в силу трудовых отношений с Обществом стала известна информация, составляющая ПДн, в случае нарушения режима защиты этих ПДн несет материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами Российской Федерации.
6.3. Разглашение ПДн субъектов ПДн (передача их посторонним лицам, в том числе сотрудникам Общества, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящими Правилами, локальными нормативными актами (приказами, распоряжениями) Общества, может повлечь наложение на сотрудника, имеющего доступ к ПДн, дисциплинарного взыскания, если иное не предусмотрено законодательством РФ.
6.4. Сотрудник Общества, имеющий доступ к ПДн субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Обществу (п.7 ст.243 Трудового кодекса РФ).
6.5. Сотрудники Общества, имеющие доступ к ПДн субъектов, виновные в незаконном разглашении или использовании ПДн субъектов без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут ответственность в соответствии с законодательством РФ.
6.6. Руководство Общества за нарушение норм, регулирующих получение, обработку и защиту ПДн сотрудника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей ПДн сотрудника.
7. ДОПОЛНИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1 Каждый сотрудник должен быть ознакомлен с настоящими Правилами под роспись при приеме на работу, а для сотрудников, принятых ранее даты его утверждения, не позднее 1 (одного) месяца с даты утверждения настоящих Правил.
7.2 Настоящие Правила хранятся в отделе по работе с кадрами, контролируемые копии хранятся в информационных системах Общества.