Статья 1. Общие положения
1. Правила обработки и защиты персональных данных (далее Правила) в Саратовском областном союзе организаций профсоюзов «Федерация профсоюзных организаций Саратовской области» (далее Федерация) разработаны на основании требований, установленных:
1) Трудовым кодексом Российской Федерации;
2) Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее – ФЗ № 152);
2. Настоящие Правила устанавливают единый порядок обработки и защиты персональных данных в Федерации.
Статья 2. Основные понятия, используемые в настоящих Правилах
В настоящих Правилах используются следующие основные понятия:
1) персональные данные любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
2) оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных обработка персональных данных с помощью средств автоматизации оператора;
5) распространение персональных данных действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных совокупность содержащихся в базах данных оператора персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Статья 3. Цель Правил
1. Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или их утраты.
2. Настоящие Правила устанавливают и определяют:
1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
2) цели обработки персональных данных;
3) содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;
7) правила рассмотрения запросов субъектов персональных данных или их представителей;
8) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных ФЗ №152, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
9) правила работы с обезличенными данными;
10) перечень информационных систем персональных данных;
11) перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
12) перечень лиц, осуществляющих обработку персональных данных либо осуществляющих доступ к персональным данным;
13) порядок доступа в помещения, в которых ведется обработка персональных
данных.
Статья 4. Основные условия обработки персональных данных
1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
1) после получения согласия субъекта персональных данных за исключением случаев, предусмотренных ФЗ №152;
2) после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций за исключением случаев, предусмотренных ФЗ №152.
2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и принимают на себя обязательства о неразглашении информации.
Статья 5. Меры, направленные на выявление и предотвращение нарушений Законодательства Российской Федерации
1. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
1) назначение ответственного за организацию обработки персональных данных в Федерации;
2) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 ФЗ № 152;
3) осуществление внутреннего контроля соответствия обработки персональных данных ФЗ №152 и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
4) оценка вреда, который может быть причинён субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
5) ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
6) запрет на обработку персональных данных лицами, не допущенными к их обработке;
7) запрет на обработку персональных данных под диктовку.
Статья 6. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации
1. При эксплуатации автоматизированных систем необходимо соблюдать требования:
1) к работе допускаются только назначенные лица;
2) на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся
сведения о персональных данных, должны быть установлены пароли (идентификаторы);
3) на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц в указанный период не разрешен.
Статья 7. Порядок обработки персональных данных без использования средств автоматизации
1. Обработка персональных данных без использования средств автоматизации (далее неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
3. При неавтоматизированной обработке персональных данных на бумажных носителях:
1) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
2) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях;
3) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
4. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Статья 8. Цели обработки персональных данных
Целью обработки персональных данных является:
1) осуществление деятельности, полномочий и обязанностей, возложенных на Федерацию уставом и федеральным законодательством;
2) организация хозяйственной деятельности Федерации, обеспечение соблюдения законов и иных нормативных правовых актов, реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников.
Статья 9. Содержание обрабатываемых персональных данных для осуществления деятельности, полномочий и обязанностей, возложенных на Федерацию уставом и федеральным законодательством
К персональным данным, обрабатываемым для достижения целей, указанных в части 1 статьи 8 настоящих Правил, относятся:
1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности,
трудовом стаже, повышения квалификации и переподготовки;
5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учёбы членов семьи;
7) сведения об отношении к воинской обязанности;
9) сведения об идентификационном номере налогоплательщика;
10) сведения о социальных льготах и о социальном статусе.
Статья 10. Содержание обрабатываемых персональных данных для организации хозяйственной деятельности Федерации, обеспечения соблюдения законов и иных нормативных правовых актов реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников
К персональным данным обрабатываемыми для достижения целей, указанных в части 2 статьи 8 настоящих Правил, относятся:
1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки, включая серию, номер, дату выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, дату начала и завершения обучения);
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышения квалификации и переподготовки, включая сведения о номере, серии, дате выдачи трудовой книжки (вкладыша в неё) и записях в ней, содержание и реквизиты трудового договора (контракта);
5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учёбы членов семьи;
7) сведения об отношении к воинской обязанности;
9) сведения об идентификационном номере налогоплательщика;
11) сведения из страховых полисов обязательного (добровольного) медицинского страхования;
12) сведения о номере и серии страхового свидетельства государственного пенсионного страхования.
Статья 11. Категории субъектов, персональные данные которых обрабатываются
К субъектам, персональные данные которых обрабатываются, относятся:
1) работники, состоящие с Федерацией профсоюзных организаций Саратовской области в трудовых отношениях, бывшие работники;
2) лица, осуществляющие работу (оказывающие услугу) по гражданско-правовым договорам;
3) члены профсоюза, участвующие в мероприятиях, проводимых Федерацией профсоюзных организаций Саратовской области;
4) лица, избранные или делегированные в органы управления Федерации профсоюзных организаций Саратовской области.
Статья 12. Сроки обработки и хранения обрабатываемых персональных данных
Сроки обработки и хранения персональных данных определяются требованиями законодательства Российской Федерации и муниципальными нормативными правовыми актами.
Статья 13. Особенности хранения персональных данных
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Статья 14. Уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований
1. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
Статья 15. Порядок уничтожения обработанных персональных данных
Уничтожение обработанных персональных данных производится комиссионно, с составлением соответствующего акта. Комиссия создается распоряжением председателя.
Статья 16. Право субъектов персональных данных на получение сведений
1. Субъект персональных данных, указанный в статье 11 настоящих Правил, имеет право на получение информации, касающейся обработки его персональных данных, указанной в части 7 статьи 14 №152-ФЗ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 №152-ФЗ.
2. Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения, в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Статья 17. Правила предоставления оператором сведений по запросу субъекта персональных данных
1. При обращении либо при получении запроса субъекта персональных данных или его представителя сведения должны быть предоставлены в доступной форме. Запрос регистрируется в день поступления.
2. Запрос субъекта персональных данных должен содержать сведения, позволяющие провести его идентификацию:
1) фамилию, имя, отчество субъекта персональных данных и его представителя;
2) адрес проживания субъекта персональных данных и его представителя;
3) номер и дату выдачи основного документа, подтверждающего личность субъекта персональных данных и его представителя;
4) подпись субъекта персональных данных и его представителя.
Запрос может быть направлен электронной почтой и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3. Оператор при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных обязан сообщить в порядке статьи 14 №152-ФЗ субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в срок, установленный законом.
В случае отказа в предоставлении информации о наличии персональных данных оператор обязан дать в письменной форме мотивированный ответ с ссылкой на действующее законодательство, являющегося основанием для такого отказа. Отказ в предоставлении информации направляется в срок, установленный законом.
4. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий 7 (семь) рабочих дней, вносит в них необходимые изменения. О внесённых изменениях уведомляется субъект персональных данных или его представитель.
5. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 (семь) рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.
6. При получении запроса из уполномоченного органа по защите прав субъектов персональных данных оператор обязан сообщить необходимую информацию в срок, установленный законом.
7. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом ответственным за обработку персональных данных.
Статья 18. Внутренний контроль. Цель внутреннего контроля
1. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных №152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.
2. Внутренний контроль осуществляется на постоянной основе ответственным за обработку персональных данных в ходе мероприятий по обработке персональных данных.
Статья 19. Обезличивание персональных данных. Условия обезличивания
Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса используемых информационных систем
персональных данных и по достижению сроков обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством Российской Федерации.
Статья 20. Способы обезличивания
1. К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение (понижение) точности некоторых сведений;
4) деление сведений на части и обработка их в разных информационных системах;
5) другие способы.
2. К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
Статья 21. Правила работы с обезличенными данными
1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
2. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:
1) использование паролей;
2) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных.
4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;
2) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных.
Статья 22. Перечень работников, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- работники отдела организационной, кадровой работы и молодежной политики;
- работники отдела финансовой работы и имущественных отношений;
- работники отдела социально трудовых отношений и социального партнерства;
- работники отдела правовой работы и охраны труда;
- секретарь (информация о фактическом месте проживания и контактные телефоны работников, контактные телефоны лиц избранных или делегированных в органы управления Федерации);
- заведующие отделами по направлению деятельности (доступ к персональным данным только работников своего подразделения);
- специалист архивного дела (при обработке документов, переданных на хранение);
Статья 23. Информационные системы персональных данных. Перечень информационных систем персональных данных
1. Понятие информационной системы персональных данных.
Информационная система персональных данных это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Информационные системы персональных данных.
1) Программа «1С: Предприятие»;
2) Программа «Контур Экстерн»
Статья 24. Перечень лиц, осуществляющих обработку персональных данных в Федерации
Право доступа к персональным данным имеют:
- председатель;
- заместители председателя Федерации;
- работники отдела организационной, кадровой работы и молодежной политики;
- работники отдела финансовой работы и имущественных отношений;
- секретарь;
- заведующие отделами(доступ к персональным данным работников своего подразделения);
- специалист архивного дела (при обработке документов, переданных на хранение);
работники отдела социально трудовых отношений и социального партнерства (при осуществлении трудовой функции);
- работники отдела правовой работы и охраны труда (при осуществлении трудовой функции);
Статья 25. Обязательства о неразглашении персональных данных
Лица, допущенные к обработке персональных данных, берут на себя обязательства о неразглашении информации, содержащей персональные данные.
Статья 26. Ответственный за организацию обработки персональных данных
Ответственный за организацию обработки персональных данных назначается распоряжением из числа работников Федерации.
Статья 27. Должностная инструкция ответственного за обработку персональных данных
Ответственный за организацию обработки персональных под роспись знакомиться с должностной инструкцией ответственного за организацию обработки персональных данных.
Статья 28. Обязанность о прекращении обработки персональных данных
Лица, осуществлявшие обработку персональных данных в Федерации в случае расторжения с ним договора (контракта) обязаны прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
Статья 29. Порядок доступа в помещения, в которых ведётся обработка персональных данных
1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.
2. В служебных помещениях, применяются административные, технические, физические и процедурные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
1) физические меры защиты: двери, снабжённые замками; сейфы; безопасное уничтожение носителей, содержащих персональные данные;
2) технические меры защиты: установление паролей на персональных компьютерах;
3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности; доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты.