Положение о персональных данных. Приказ о защите персональных данных.
Об утверждении Положения о персональных данных
Во исполнение статьи 24 Конституции Российской Федерации, главы 14 Трудового Кодекса Российской Федерации, Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», а также в целях организации обработки персональных данных в НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ,
ПРИКАЗЫВАЮ:
1. Утвердить прилагаемое Положение о персональных данных в НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ (далее – Положение).
2. Назначить лицом, ответственным за организацию обработки персональных данных, заместителя директора ФИО.
3. Определить, что лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от директора и подотчетно ему.
4. Лицу, ответственному за организацию обработки персональных данных:
до 1.10.201__ довести Положение до сведения всех работников, обучающихся и их родителей (законных представителей) под роспись;
осуществлять внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
доводить до сведения работников, обучаемых и их родителей (законных представителей) положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
осуществлять контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей;
до 1.10.201__ запросить с работников, осуществляющих обработку персональных данных, письменное обязательство о неразглашении персональных данных.
5. Специалисту по кадрам ФИО:
доводить под роспись Положение до сведения всех работников, обучающихся и их родителей (законных представителей), принимаемых на работу (поступающих на учебу);
до 1.10.201_ запросить с работников, обучающихся (их родителей, законных представителей) письменное согласие на обработку персональных данных.
осуществлять прием и обработку обращений и запросов субъектов персональных данных или их представителей.
6. Местом хранения Положения определить рабочее место специалиста по кадрам.
7. Контроль за исполнением настоящего приказа оставляю за собой.
Директор (наименование организации) ФИО
Утверждено
Приказом директора
НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ
от « » __________201__ г. № _____
Положение
о персональных данных в (наименование организации)
I. Общие положения
1.1 Настоящее Положение о персональных данных (далее - Положение) устанавливает порядок получения, обработки, использования, хранения, гарантии конфиденциальности персональных данных, необходимых для осуществления деятельности НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ (далее - Оператор) в соответствии со статьей 24 Конституции Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», нормативными правовыми актами Российской Федерации и Московской области в области защиты информации, трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России и Рособразования.
1.2. Задачей Оператора в области защиты персональных данных является обеспечение, в соответствии с законодательством Российской Федерации и Московской области, защиты персональных данных работников, обучаемых и их родителей, законных представителей (далее – субъектов персональных данных), а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях, от несанкционированного доступа, неправомерного их использования или утраты, обеспечение защиты прав и свобод субъекта персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. В целях настоящего Положения используются следующие основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4. Сведения о персональных относятся к числу конфиденциальных. Режим конфиденциальности в отношении персональных данных снимается: в случае их обезличивания; по истечении 75 лет срока их хранения; в других случаях, предусмотренных федеральными законами.
2. Порядок обработки персональных данных, гарантии их конфиденциальности
2.1.Общие требования при обработке персональных данных и гарантии их защиты.
В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных субъектов персональных данных обязаны соблюдать следующие общие требования:
обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности субъектов персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
при определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
все персональные данные субъекта персональных данных следует получать у него самого. Если персональные данные субъекта персональных данныхвозможно получить только у третьей стороны, то субъекта персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекта персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение;
Оператор не имеет права получать и обрабатывать сведения о субъекте персональных данных, относящиеся в соответствии с законодательством Российской Федерации к специальным категориям персональных данных, за исключением случаев, предусмотренных федеральными законами;
Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
при принятии решений, затрагивающих интересы субъекта персональных данных, Оператор не имеет права основываться на персональных данных субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;
защита персональных данных субъекта персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств.
субъекты персональных данных и их представители должны быть ознакомлены под роспись с документами Оператора, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны;
субъекты персональных данных и Оператор должны совместно вырабатывать меры защиты персональных данных.
2.2. Конфиденциальность персональных данных.
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.3. Согласие субъекта персональных данных на обработку его персональных данных.
2.3.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных (его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
2.3.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2.3.3. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
2.3.4. Примерная форма Согласия субъекта персональных данных на обработку персональных данных приведена в приложении 3.
2.4. Общедоступные источники персональных данных
2.4.1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных (приложение 3) могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
2.4.2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
2.4.3. Примерная форма Согласия субъекта персональных данных о включении в общедоступные источники персональных данных приведена в приложении 4.
2.5.Специальные категории персональных данных
2.5.1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев если: субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; персональные данные сделаны общедоступными субъектом персональных данных, иных случаях, определенных в п. 2 статьи 10 Федерального закона от 27 июля 2013 г. №152-ФЗ «О персональных данных».
2.5.2. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
2.5.3. Обработка специальных категорий персональных данных, осуществлявшаяся в соответствии с федеральным законом, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
2.6.Биометрические персональные данные.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением следующих случаев: в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
2.7. Трансграничная передача персональных данных.
2.7.1. При трансграничной передаче персональных данных на территории иностранных государств, Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
2.7.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; предусмотренных международными договорами Российской Федерации; предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства; исполнения договора, стороной которого является субъект персональных данных; защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
2.8. Доступ к персональным данным.
2.8.1. Право на обработку персональных данных предоставляется по занимаемой должности должностным лицам Оператора по утвержденному перечню (Приложение 2), а также персонально иным лицам в соответствии с приказами или письменными указаниями директора Оператора.
2.8.2. Право получения документов, содержащих персональные данные субъекта персональных данных, непосредственно на рабочее место имеет директор Оператора.
2.8.3. Работники Оператора имеют право ознакомиться с документами, содержащими персональные данные субъекта персональных данных в пределах своих полномочий, на специально отведенном рабочем месте в присутствии специалиста по кадрам (иного должностного лица), ответственного за работу с соответствующими документами.
2.8.4.Субъект персональных данных имеет право ознакомиться с документами, содержащими его персональные данные, на специально отведенном рабочем месте в присутствии специалиста по кадрам (иного работника), ответственного за работу с соответствующими документами.
2.8.5. Указанные сведения предоставляются Оператором при обращении (по запросу) субъекта персональных данных (его представителя) в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Запрос субъекта персональных данных (его представителя) должен содержать номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.8.6. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору (направить повторный запрос) в целях получения таких сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения (направления первоначального запроса), если более короткий срок не установлен нормативными правовыми актами или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Повторный запрос допускается, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены субъекту персональных данных для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, поданного с нарушением сроков. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
2.8.7. Внешний доступ.
К органам (лицам), которым могут быть переданы персональные данные вне Учреждения, при условии соблюдения требований законодательства, относятся:
налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, органы социального страхования, пенсионные фонды, подразделения государственных органов и органов местного самоуправления.
Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
Организации, в которые субъект персональных данныхможет перечислять денежные средства (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным субъект персональных данных только при наличии его письменного разрешения.
Сведения о субъект персональных данных могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления субъекта персональных данных.
Персональные данные субъект персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъект персональных данных.
2.9. Хранение персональных данных.
Персональные данные могут храниться в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных.
Хранение персональных данных должно осуществляться в порядке, исключающем их утрату или неправомерное использование.
Трудовые книжки, личные дела и личные карточки субъектов персональных данных хранятся в бумажном виде в специальном несгораемом шкафу, обеспечивающем защиту от несанкционированного доступа.
Персональные данные субъект персональных данных могут также храниться в электронном виде. Доступ к электронным базам данных, содержащих персональные сведения, обеспечивается системой паролей.
Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора.
3. Права субъекта персональных данных в области обработки персональных данных
3.1. Право субъекта персональных данных на доступ к его персональным данным.
3.1.1. Субъект персональных данных имеет право на свободный бесплатный доступ к своим персональным данным (включая право на получение копии любой записи, содержащей его персональные данные), получение полной информации, касающейся его персональных данных и их обработке, в том числе содержащей: подтверждение факта обработки персональных данных; правовые основания и цели обработки персональных данных; цели и применяемые Оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных федеральными законами; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные федеральными законами.
3.1.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, том числе, если:
обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
3.1.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.2. Права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
3.2.1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
3.2.2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, осуществляемую в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
3.3. Права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.
3.3.1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, когда имеется согласие субъекта персональных данных в письменной форме или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3.3.2. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. Указанное возражение Оператор обязан рассмотреть в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах его рассмотрения.
3.4. Право субъекта персональных данных на обжалование действий или бездействия Оператора.
3.4.1. Субъект персональных данных вправе обжаловать действия или бездействие Оператора, связанные с обработкой и защитой его персональных данных нарушающие его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
3.4.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3.5.В целях обеспечения защиты персональных данных, хранящихся у Оператора, субъект персональных данных также имеет право на:
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований федеральных законов. При отказе Оператора исключить или исправить персональные данные субъекта персональных данных он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении субъекта персональных данных всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4. Обязанности Оператора
4.1. Обязанности Оператора при сборе персональных данных.
4.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.1.2. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных.
4.1.3. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
4.1.4. Если персональные данные получены не от Субъекта персональных данных, Оператор, за исключением случаев, предусмотренных Законом, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: наименование либо фамилия, имя, отчество и адрес Оператора или его представителя; цель обработки персональных данных и ее правовое основание; предполагаемые пользователи персональных данных; права субъекта персональных данных; источник получения персональных данных.
4.1.5. Оператор освобождается от обязанности предоставить субъекту персональных данных названные сведения, если: субъекту персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором; персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; предоставление субъекту персональных данных соответствующих сведений, нарушает права и законные интересы третьих лиц.
4.2. Обязанности Оператора при обращении к нему субъекта персональных данных (его представителя), уполномоченного органа.
4.2.1. Оператор обязан сообщить в порядке, установленном Федеральным законом, субъекту персональных данных (его представителю) информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных (его представителя) лично, либо в течение тридцати дней с даты получения соответствующего обращения.
4.2.2. В случае отказа в предоставлении субъекту персональных данных (его представителю) информации о наличии персональных данных о субъекте персональных данных, Оператор обязан в срок, не превышающий тридцати дней со дня обращения (получения запроса), дать в письменной форме мотивированный ответ, о причинах отказа.
4.2.3. В случае предоставления субъектом персональных данных (его представителем) сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан в срок, не превышающий семи рабочих дней со дня обращения, внести в них необходимые изменения.
В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных (его представителем) сведений, подтверждающих, что его персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4.2.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
4.3. Обязанности Оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.
4.3.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных либо уполномоченного органа Операторобязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения (запроса) на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или по запросу уполномоченного органа Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
4.3.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных либо уполномоченным органом, или иных необходимых документов обязан уточнить персональные данные (обеспечить их уточнение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
4.3.3. В случае выявления неправомерной обработки персональных данных, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить (обеспечить прекращение) неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.3.4. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.
4.3.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить их в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено федеральными законами.
4.3.6. В случае отсутствия возможности уничтожения персональных данных в указанные сроки, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
5. Лица, ответственные за организацию обработки персональных данных у Оператора
5.1. Оператор назначает лицо, ответственное за организацию обработку персональных данных.
5.2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа Оператора и подотчетно ему.
5.3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, необходимые для его работы, предусмотренные федеральными законами.
5.4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
осуществлять внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
доводить до сведения субъектов персональных данных положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
6. Ответственность за нарушение требований законодательства о защите персональных данных
6.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных субъекта персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
7.Защита персональных данных
7.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
7.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
7.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.
7.4. Для обеспечения внутренней защиты персональных данных необходимо соблюдать следующие меры:
ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
строгое избирательное и обоснованное распределение документов и информации между работниками;
рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
знание работником требований документов по защите информации и сохранению тайны;
наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника с доступом к базам данных;
организация процесса уничтожения информации;
своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
воспитательная и разъяснительная работа с сотрудниками подразделения, цель которой– предупредить утрату ценных сведений при работе с конфиденциальными документами.
7.5. Выдача документов на бумажном носителе, содержащих персональные данные, на рабочие места структурных подразделений запрещена.
7.6. Все файлы, содержащие персональные данные субъектов персональных данных субъектов персональных данных в электронном виде, должны быть защищены паролем.
7.7. Все лица, в должностные обязанности которых входит получение, обработка и защита персональных данных субъектов персональных данных, при приеме на работу обязаны подписать обязательство о неразглашении персональных данных субъектов персональных данных (Приложение 5).
7.8. По возможности персональные данные обезличиваются.
7.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, субъекты персональных данных и их представители могут вырабатывать совместные меры защиты персональных данных.
Приложение №1
к Положению о персональных данных
Перечень персональных данных
фамилия, имя, отчество;
дата и место рождения;
адрес проживания (регистрации);
семейное, социальное, имущественное положение;
сведения об образовании и специальности;
сведения о трудовом стаже, содержание трудового договора;
наличие судимости;
доходы, имущество и имущественные обязательства;
состав декларируемых сведений о наличии материальных ценностей;
результаты медицинских обследований,
номер телефона, адрес электронной почты,
любая иная информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Приложение №2
к Положению о персональных данных
Перечень
должностей Оператора, допущенных к обработке персональных данных
Все виды персональных данных:
- Директор.
- Заместитель директора.
- Главный бухгалтер.
- Специалист по кадрам.
Персональные данные субъектов персональных данных своего подразделения:
- Главный тренер.
- Инструктор методист.
Только персональные данные, необходимые для выполнения должностных функций.
- Тренер-преподаватель
- Ведущий бухгалтер
- Бухгалтер.
- Экономист.
- Юрисконсульт.
- Врач.
- Медсестра.
Приложение №3
к Положению о персональных данных
Директору
(наименование организации)
СОГЛАСИЕ
работника на обработку его персональных данных
Образец Согласия работника на обработку персональных данных см. здесь
Приложение №4
к Положению о персональных данных
Директору
НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ
СОГЛАСИЕ
на общедоступность персональных данных
СОГЛАСИЕ на общедоступность персональных данных см. здесь
Приложение №5
к Положению о персональных данных
Директору
НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ
о неразглашении персональных данных субъектов персональных данных
Приложение N 5
к Положению о персональных данных
Директору
НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ
от ________________________,
зарегистрированного по адресу
_____________________________
паспорт _____________________
Согласие
на передачу персональных данных третьей стороне
Согласие на передачу персональных данных третьей стороне смотрите здесь
Лист ознакомления
с Положением о персональных данных,
утвержденным Приказом директора от «___»____________ 201__ г.N ___
№ п/п |
Фамилия, Имя, Отчество |
Дата ознакомления |
Подпись |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|