Информация, так или иначе относящиеся к конкретному физическому лицу является в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ персональными данными (сокращенно - ПДн). Её получение возможно напрямую от самого работника или же допустимо получить её от иных лиц, получив соответствующее письменное согласие от самого физического лица.
Работодатель должен утвердить предварительно сделанные локальные нормативные акты, которыми определяется и регулируется порядок обработки и передачи ПДн в компании. Помимо этого в них нужно указать обязанности и права работников (ст. 86-88). Таким актом является положение об обработке и защите персональных данных.
Он определяет процедуры работ с ПД как внутри, так и вовне организации, и содержит гарантии конфиденциальности всех сведений, предоставленных (полученных) работодателю. Составление этого акта обязательно в каждой организации.
Регулирование использования ПДн работников осуществляет Трудовой Кодекс РФ. В нем прописаны правила, указывающие, что использование сведений можно только для соблюдения законодательства и для содействия сотрудникам в следующем:
Специально утвержденной формы документа действующий Закон не содержит, но анализируя правовые нормы, можно выделить необходимость включения следующих разделов:
После составление документа необходимо, чтобы руководитель организации утвердил и ввел его в действие. С этой целью издается приказ. Всех работников знакомят с этими бумагами под роспись.
Контроль за этим осуществляет руководитель лично, или уполномоченная им кадровая служба. Согласно статье 90 ТК РФ те, кто нарушил законодательство при обработке ПД могут быть привлечены в зависимости от тяжести проступка к различным видам ответственности.
С этим шаблоном часто используют:
(Полное наименование оператора) |
№ |
В целях исполнения положений п.2 ч.1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:
1. Утвердить Положение о защите и обработке персональных данных .
2. Работникам в своей работе руководствоваться положениями настоящей Политики.
3. Контроль за исполнением настоящего приказа возложить на Ответственного за организацию обработки персональных данных.
Руководитель | |||||
(должность) | (личная подпись) | (расшифровка подписи) |
УТВЕРЖДЕНО
приказом
от г. №
ПОЛОЖЕНИЕ
О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Положение о защите и обработке персональных данных (далее — Положение) регулирует порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных субъектов персональных данных.
Положение основано на нормах Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон), Постановлений Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», и от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а также на нормах 14 главы Трудового кодекса РФ.
Целями данного Положения являются:
– обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
– определение порядка обработки персональных данных субъектов персональных данных (далее — Оператор).
Юридические лица, являющиеся операторами персональных данных, несут ответственность за нарушение режима защиты, обработки и порядка использования этой информации: гражданскую, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации. Физические лица, в дополнение к вышеперечисленным, несут и уголовную ответственность.
Настоящее Положение вступает в силу с момента его утверждения руководством Оператора и действует бессрочно до замены его новым Положением.
Изменения в Положение осуществляется приказами Оператора.
Работники Оператора получают доступ к персональным данным в объеме, необходимым им для выполнения служебных обязанностей, и в обязательном порядке должны ознакомиться с настоящим Положением под роспись для последующего его исполнения.
Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой информации или с целью создания условий для этого.
Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.
Безопасность информации – состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.
Блокирование информации – временное прекращение сбора, систематизации, накопления, использования, распространения, информации (персональных данных), в том числе её передачи.
Доступ к информации – возможность получения информации и ее использования.
Жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Модель угроз – описание существующих угроз информационной безопасности, их актуальности, возможности реализации и последствий.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);.
Персональные данные, разрешенные субъектом персональных данных для распространения, –персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом;
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Средства вычислительной техники совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение информации – действия, в результате которого невозможно восстановить содержание персональных данных в информационной системе или в результате которых уничтожаются материальные носители информации.
Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
Категории субъектов персональных данных и цели обработки данных Оператором:
Цели обработки персональных данных работников:
заключения и исполнения трудового договора, реализации трудовых отношений и иных непосредственно связанных с ними отношений, соблюдения трудового, налогового и иного законодательства: оформления страхового свидетельства обязательного пенсионного страхования (для лиц, впервые поступающих на работу); отражения информации в кадровых документах; начисления заработной платы; исчисления и уплаты предусмотренных законодательством РФ налогов, сборов, а также страховых взносов на обязательное пенсионное, социальное, медицинское страхование; предоставления работодателем по формам, установленным законодательством, налоговой отчетности в ИФНС, расчетов по страховым взносам, расчетов по начисленным и уплаченным страховым взносам на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний, а также по расходам на выплату страхового обеспечения, сведений персонифицированного учета в органы ПФР, ФСС РФ, а также статистической отчетности в Росстат; предоставления сведений в банк для открытия расчетного счета, оформления банковской карты и перечисления на нее заработной платы; предоставления сведений третьим лицам для прохождения обязательных медицинских осмотров, а также для оформления полиса ДМС; предоставления налоговых вычетов; обеспечения безопасности условий труда; контроля количества и качества выполняемой работы; обеспечения сохранности имущества работодателя; содействия работникам в обучении и продвижении по службе; обеспечения личной безопасности работников; организации работодателем пропускного режима на территорию его служебных зданий и помещений; выполнение социальных обязательств; обработки персональных данных после увольнения работника в рамках бухгалтерского и налогового учета; обработки персональных данных близких родственников работника в объеме, предусмотренном личной карточкой (форма № Т-2, утвержденная Постановлением Госкомстата России от 05.01.2004 N 1), а также при получении алиментов, оформлении социальных выплат; обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации, локальных нормативных актов работодателя.
Оператором без использования средств автоматизации обрабатываются следующие категории персональных данных работников:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения); число, месяц, год рождения; место рождения; сведения о гражданстве (подданстве), в том числе предыдущие гражданства, иные гражданства; вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его; адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания; номера рабочих, домашних и мобильных телефонов или сведения о других способах связи; реквизиты свидетельства обязательного пенсионного страхования; идентификационный номер налогоплательщика; реквизиты полиса обязательного медицинского страхования; реквизиты свидетельства о браке; сведения о семейном положении, составе семьи и близких родственниках, обрабатываемые в соответствии с законодательством Российской Федерации; предусмотренных трудовым и налоговым законодательством; сведения о трудовой деятельности (в том числе о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы); сведения о воинском учете и реквизиты документов воинского учета; сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация); сведения о повышении квалификации; сведения об ученой степени; сведения о владении иностранными языками, включая уровень владения; фотография работника для личного дела (личной карточки по форме Т-2); сведения о пребывании за границей; сведения о наличии или отсутствии судимости - только кандидатов для приема на работу (соискателей) - в случаях, определенных федеральными законами; сведения об оформленных допусках к государственной тайне; сведения о государственных наградах, иных наградах и знаках отличия; сведения о профессиональной переподготовке и (или) повышении квалификации; сведения о состоянии здоровья работника в части решения вопроса о возможности выполнения им трудовой функции, включая результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; обработка информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности сведения о ежегодных оплачиваемых отпусках, отпусках работников, совмещающих работу с обучением (учебных отпусках), и отпусках без сохранения заработной платы; сведения о заработной плате, реквизиты банковского счета для перечисления заработной платы и социальных выплат; сведения о сумме заработной платы, иных выплат и вознаграждений за два календарных года, предшествующие году приема на работу, и текущий календарный год, на которую были начислены страховые взносы, и о количестве календарных дней, приходящихся в указанном периоде на периоды временной нетрудоспособности, отпуска по беременности и родам, отпуска по уходу за ребенком, период освобождения работника от работы с полным или частичным сохранением заработной платы в соответствии с законодательством Российской Федерации.
Персональные данные используются в целях опубликования сведений о субъекте данных на сайте Оператора в сети Интернет и в публикуемых Оператором печатных материалах. Публикуются следующие материалы: .
В целях осуществления контроля трудовой дисциплины Оператором производится обработка биометрических персональных данных работников: .
В целях организации учета фактически отработанного времени Оператором: производится обработка биометрических персональных данных работников: .
Цели обработки персональных данных соискателей:
- трудоустройство на вакантные должности Оператора.
Оператор обрабатывает без использования средств автоматизации следующие категории персональных данных соискателей:
- фамилия, имя, отчество; дата рождения; адрес электронной почты; номер телефона; профессия, квалификация, опыт работы, и иные данные, в том числе размещенные в анкете (резюме), адресованной работодателю, и/ или опубликованной в сети Интернет.
Персональные данные контрагентов (клиентов).
Цели обработки персональных данных контрагентов (клиентов):
- Адресация клиенту рекламы;
- Участие клиента в программе лояльности;
- Опубликование сведений о контрагенте (клиенте) на сайте/в печати;
-.
Оператор без использования средств автоматизации обрабатывает следующие категории персональных данных контрагентов (клиентов):
фамилия, имя, отчество; паспортные данные; адрес регистрации; контактные данные; адрес электронной почты; данные о счетах и договорах; банковские реквизиты счета контрагента.
Оператор обрабатывает специальные категории персональных данных контрагентов (клиентов): в следующих целях: .
Пропускной режим, используемый Оператором, подразумевает обработку следующих биометрических персональных данных: .
В целях осуществления доступа в информационную систему Оператора , им производится обработка следующих биометрических персональных данных: .
Обработка персональных данных осуществляется на основе принципов:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
- сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных могут осуществляться только при условии письменного согласия физического лица, за исключением случаев, предусмотренных Законом.
Порядок обработки и защиты персональных данных без использования средств автоматизации определяется Правилами обработки персональных данных без использования средств автоматизации, утвержденными Приказом Оператора от № .
Распространение персональных данных осуществляется исключительно в рамках данного субъектом персональных данных согласия и в соответствии с установленными им запретами.
При осуществлении сбора персональных данных Оператор по требованию субъекта персональных данных предоставляет информацию о:
1) факте обработки персональных данных оператором;
2) правовых основаниях и целях обработки персональных данных;
3) целях и применяемых оператором способах обработки персональных данных;
4) наименовании и месте нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроках обработки персональных данных, в том числе сроки их хранения;
7) порядке осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иных сведениях, предусмотренных Законом или другими федеральными законами.
В случае, если предоставление персональных данных является обязательным, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки.
Соискатели на вакантные должности направляют Оператору свои персональные данные непосредственно на адрес электронной почты или через специализированные интернет-сайты.
При проведении с соискателем собеседований, данные в резюме могут подтверждаться документально. Копии подтверждающих документов могут храниться Оператором, но не дольше чем до достижения цели их обработки, то есть до замещения вакантной должности, после данные соискателей подлежат удалению в течение 30 дней (ч.4 ст. 21 Закона).
При заключении трудового договора работник предоставляет работодателю следующие документы, содержащие его персональные данные:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
- документ об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- иные документы в соответствии с требованиями законодательства.
В случае первоначального заключения трудового договора с работником, трудовую книжку, страховое свидетельство государственного пенсионного страхования оформляет Оператор.
В случае, если для трудоустройства работника требуются в соответствии с законодательством иные документы, Оператор обращается к лицу, поступающему на работу, с просьбой о предоставлении таких документов, содержащих персональные данные.
По общему правилу, сбор персональных данных работника производится непосредственно от него самого. Получение этих данных от третьих лиц возможно только при условии получения предварительного письменного согласия на то от работника.
Перед получением такого согласия Оператор уведомляет работника о целях, предполагаемых источниках и способах получения персональных данных, а также о характере запрашиваемых персональных данных и о последствиях отказа работника в даче согласия на их получение.
В случае изменений персональных данных работник письменно уведомляет работодателя в течение трех рабочих дней.
Помимо этого, статья 86 Трудового кодекса Российской Федерации обязывает работодателя и его представителей при обработке персональных данных работника соблюдать следующие требования:
- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;
- работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами;
- защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом РФ, локальными нормативными актами Оператора ;
- работники и их представители в обязательном порядке знакомятся под роспись с локальными нормативно-правовыми актами Оператора, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Контрагенты (клиенты) передают персональные данные при заключении договора, данные подлежат хранению в течение срока исполнения договорных обязательств и/или в сроки, установленные законодательством.
По общему правилу, передача персональных данных субъекта третьим лицам без его письменного согласия не допускается. Исключением являются случаи, установленные федеральным законодательством.
Недопустима передача персональных данных субъекта в коммерческих целях без его письменного согласия. Продвижение товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи возможно исключительно с его предварительного согласия.
Оператор распространяет персональные данные только в соответствии с данным на то согласием субъекта персональных данных и с соблюдением установленных им запретов. Если из данного субъектом согласия не следует, что персональные данные разрешены к распространению, распространение не производится.
Публикация информации об условиях обработки, об установленных субъектом персональных данных запретах обработки, и о наличии запретов и условий на обработку персональных данных неограниченным кругом лиц осуществляется оператором в течение трех рабочих дней.
Лица в силу необходимости исполнения должностных обязанностей получающие доступ к персональным данным, до получения доступа ознакомляются с локальными нормативными актами оператора, устанавливающими порядок обработки и режим конфиденциальности персональных данных.
Рассмотрение запросов субъектов персональных данных, направленных в порядке ст. 14 Закона осуществляются в соответствии с Правилами рассмотрения запросов субъектов персональных данных (их представителей), утвержденных Оператором.
Передача персональных данных работников осуществляется в случаях, установленных законодательством, в органы ПФР, ФНС, ФСС, а также в иных установленных законодательством случаях. Для выплаты заработной платы запущен зарплатный проект в банке «». В рамках реализации данного проекта передача персональных данных производится с информированного и осознанного согласия работника.
Договором между «» и на «» возлагается обязанность соблюдения конфиденциальности персональных данных.
Оператор осуществляет трансграничную передачу персональных данных: .
Защита персональных данных при неавтоматизированной их обработке производится в соответствии с утвержденными Оператором «Правилами обработки персональных данных без использования средств автоматизации».
В случае прекращения трудовых отношений, обработка персональных данных продолжается по основаниям, предусмотренным федеральным законодательством, но не дольше установленных в нем сроков. По окончанию сроков обработки документы, содержащие персональные данные, подлежат сдаче в архив в соответствии с требованиями ст.22.1 Федерального закона от 22.10.2004 № 125-ФЗ "Об архивном деле в Российской Федерации".
Персональные данные работников, опубликованные на сайтах Оператора в соответствии с требованиями федерального законодательства, подлежат уничтожению в соответствии с требованиями ч. 4 ст. 21 Федерального закона "О персональных данных".
Персональные данные работников, обрабатываемые в целях , подлежат уничтожению в соответствии с требованиями ч.4 ст. 21 Федерального закона "О персональных данных".
В случае достижения целей обработки, либо отзыва согласия на обработку персональных данных, и при условии отсутствия оснований в законодательстве, требующих продолжения обработки персональных данных, а также при поступлении от субъекта персональных данных требования прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, Оператор производит уничтожение персональных данных. Срок уничтожения ограничен тридцатью днями с даты наступления указанных обстоятельств. Прекращение передачи персональных данных осуществляется немедленно при поступлении требования субъекта персональных данных.
Оператором сформирована комиссия по уничтожению персональных данных на бумажных носителях, состав которой утвержден приказом Оператора. Уничтожение персональных данных подлежит актированию по форме, установленной Оператором.
Удаление персональных данных из используемых Оператором ИСПДн производится путем стирания записи в базах данных по запросу субъекта или при достижении целей обработки персональных данных.
В случае поступления обращения субъекта персональных данных о выявлении недостоверности обрабатываемых данных, неправомерных операций в отношении его данных, производится временное блокирование персональных данных на период проверки.
Временное прекращение операций по обработке персональных данных (блокирование) должно осуществляться по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.
Обработка персональных данных работников производится в соответствии с Трудовым кодексом РФ. Оператор ведет с Банком зарплатный проект, в рамках данного зарплатного проекта необходима передача персональных данных работников в . Для этого с работников Оператора собирается согласие (п.3 ст.6 Закона).
Получение согласий от соискателей производится в случае приглашения на очное собеседование.
Размещение соискателями резюме на электронных интернет-ресурсах (агрегаторах вакансий) производится в соответствии с правилами данных ресурсов. Отправляя резюме на электронную почту Оператора, соискатель тем самым дает согласие в конклюдентной форме на обработку его персональных данных.
Обработка персональных данных контрагентов (клиентов) не требует получения от них дополнительного согласия, так как обработка их данных производится в соответствии с п.5 ч.1 ст. 6 Закона.
Получение согласий с контрагентов (клиентов) производится в случаях:
- адресации клиенту рекламы;
- участия клиента в программе лояльности;
- опубликования сведений о клиенте;
- .
Доступ работникам Оператора к персональным данным предоставляется исключительно для цели исполнения ими своих трудовых функций.
Допуск работников к персональным данным осуществляется в соответствии с Положением о разграничении прав доступа к информационной системе. На основании его, а также данных, предоставляемых руководителями подразделений Оператора, Руководством Оператора осуществляется допуск работников к обработке персональных данных.
Условием допуска работников Оператора является ознакомление с настоящим Положением, иными локальными нормативными актами Оператора относительно обработки персональных данных, а также подписание Обязательства о неразглашении персональных данных.
Обнаружение нарушений обработки персональных данных является основанием для приостановки обработки. При обнаружении нарушений проводятся мероприятия, направленные на устранение причин нарушений. Решение о приостановке обработки может быть принято руководством Оператора, Администратором безопасности информации и/или Ответственным за организацию обработки персональных данных.
Допуск иных лиц, не указанных в Перечнях лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы персональных данных, к персональным данным возможен только на основании приказа руководства Оператора.
В соответствии с требованиями ст. 20 Закона Оператор предоставляет субъектам персональных данных бесплатный доступ к относящимся к ним данным, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, контрразведывательной и разведывательной деятельности, в целях обороны страны, безопасности государства и охраны правопорядка, а также в иных случаях, предусмотренных федеральным законодательством.
Доступ субъекта (его представителя) к персональным данным осуществляется по запросу к Оператору, содержащему паспортные данные субъекта персональных данных, сведения, подтверждающие участие субъекта в отношениях с Оператором. Запрос оформляется в бумажной или электронной форме, подписывается собственноручно субъектом персональным данных (его представителем) или квалифицированной электронной подписью субъекта персональных данных (его представителя).
Форма предоставления информации субъекту персональных данных должна быть доступной для понимания, и не содержать персональные данные, относящиеся к другим субъектам.
Поступившие запросы от субъекта персональных данных, касающиеся выявления им факта обработки неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор рассматривает и удовлетворяет.
Работа с запросами субъектов персональных данных производится в соответствии с утвержденными Оператором «Правилами рассмотрения запросов субъектов персональных данных (их представителей)».
Субъект персональных данных имеет право на получение следующей информации:
1) подтверждение факта обработки персональных данных Оператором;
2) о правовых основаниях и целях обработки персональных данных;
3) о целях и применяемых оператором способах обработки персональных данных;
4) о наименовании и месте нахождения оператора, сведений о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона " О персональных данных";
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случаях:
1) обработки персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, а также в целях обороны страны, безопасности государства и охраны правопорядка;
2) если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Обработка персональных данных осуществляется в соответствии с Законом в законных и обоснованных целях. Оператор вправе предоставлять персональные данные третьим лицам при наличии добровольного информированного согласия субъекта персональных данных, или если это предусмотрено действующим законодательством.
По факту обнаружения недостоверных персональных данных или неправомерных действий с ними Оператор обязан отреагировать на выявленные нарушения в порядке ст. 21 Закона, в том числе в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.
Оператор в порядке рассмотрения запросов субъектов персональных данных обязан предоставлять им возможность бесплатного ознакомления с относящимися к ним персональным данным в доступной форме в соответствии с Правилами рассмотрения запросов субъектов персональных данных и законодательством Российской Федерации.
При обнаружении неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан провести актуализацию персональных данных, уничтожить или блокировать их, уведомить о своих действиях субъекта персональных данных.
Если персональные данные получены не от субъекта данных, Оператор обязан предоставить субъекту персональных данных следующую информацию:
- перечень персональных данных;
- наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных;
- источник получения персональных данных.
Уведомление не осуществляется, если:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
- персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обработка персональных данных, разрешенных субъектом персональных данных для распространения с соблюдением запретов и условий, установленных субъектом персональных данных;
- Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности;
- предоставление сведений субъекту персональных данных нарушает права и законные интересы третьих лиц.
Работники Оператора перед получением доступа к персональным данным обязаны ознакомиться с локальными нормативными актами Оператора, устанавливающими порядок обработки персональных данных, подписать соглашение о неразглашении персональных данных.
Работник Оператора имеет право:
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- определять своих представителей для защиты своих персональных данных;
- заявлять требования об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона;
- получать доступ к медицинской документации, отражающей состояние своего здоровья, с помощью медицинского работника по своему выбору;
- на обжалование в суде любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.
- получать и осуществлять ввод информации в соответствии с его полномочиями;
- заявлять требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
Обязанности работника:
- своевременно сообщать Оператору актуальные персональные данные в случае их изменения, сообщать об обнаружении ошибок или неточностей в них.
- предоставлять Оператору документы, содержащие достоверные персональные данные в случаях, установленных Трудовым кодексом РФ;
В части обработки персональных данных иных субъектов:
- соблюдать режим конфиденциальности;
- не допускать передачи персональных данных субъекта третьей стороне без его письменного согласия (в том числе и в коммерческих целях), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, и невозможно получить на передачу согласие, а также в случаях, установленных федеральным законом;
- разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
- не запрашивать у субъектов дополнительные персональные данные, за исключением тех, которые необходимы для достижения целей обработки персональных данных.
Юридические и физические лица, в соответствии со своими полномочиями владеющие персональными данными граждан, привлекаются к гражданской, дисциплинарной, административной, уголовной ответственности за нарушение режима защиты, обработки и порядка использования этих персональных данных.
Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку персональных данных субъекта, несут гражданско-правовую, дисциплинарную, административную, уголовную ответственность, предусмотренную федеральным законодательством.
При возникновении инцидента, повлекшего нарушение конфиденциальности, целостности или доступности персональных данных по вине должностных лиц Оператора, и если это повлекло за собой какие-либо финансовые потери для Оператора, виновные должностные лица обязаны возместить причиненный ущерб.
Неправомерность обработки персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных.
Должностные лица Оператора, получающие доступ к персональным данным, дополнительно несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации.