Положение об обеспечении безопасности обработки персональных данных

 

 

 

 

 

 

 

  

УТВЕРЖДАЮ:

Президент правления

 СГОО «КЛК «МАРКИЗА»

О.Н. Русакова

«07» июля  2017 года

 

Положение об обеспечении безопасности обработки персональных данных

 

1. Общие положения.

 

1.1. Положение об обработке персональных данных (далее – ПДн) определяет цели, содержание и порядок обработки ПДн, меры, направленные на защиту ПДн, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации.

 

1.2. Настоящее Положение разработано в соответствии с законодательством Российской Федерации о ПДн и нормативно-методическими документами органов государственной власти по вопросам безопасности ПДн при их обработке.

 

1.3. Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение, являются:

-        Федеральный Закон от «27» июля 2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ
«О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;

-        Постановление Правительства РФ от «15» сентября  2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-        Методические рекомендации по применению Приказа Роскомнадзора от «05» сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

 

1.4. Настоящее Положение определяет порядок и условия обработки ПДн в
СГОО «КЛК «МАРКИЗА» (далее — Организация), включая порядок передачи ПДн третьим лицам, случаи взимания согласий субъектов ПДн и уведомления органа по защите прав субъектов ПДн, особенности обработки ПДн, ответственность за нарушения при обработке ПДн, иные вопросы.

 

1.5. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых без использования средств автоматизации.

 

1.6. Порядок ввода в действие и изменения Положения.

 

1.6.1. Настоящее Положение вступает в силу с момента его утверждения Президентом правления СГОО «КЛК «МАРКИЗА» и действует бессрочно, до замены его новым Положением.

 

1.6.2. Все изменения в Положение вносятся приказом.

 

1.6.3. Все работники Организации, задействованные в процессе обработки ПДн, должны быть ознакомлены с настоящим Положением под роспись.


2. Принципы и цели обработки персональных данных.

 

2.1. Обработка ПДн осуществляется на законной и справедливой основе.

 

2.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

 

2.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

 

2.4. Обработке подлежат только ПДн, которые отвечают целям их обработки.

 

2.5. Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.

 

2.6. При обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных.

 

2.7. Обработка ПДн осуществляется с целью:

- ведения реестра членов СГОО «КЛК «МАРКИЗА»; 

- проведения выставок СГОО «КЛК «МАРКИЗА»;

- отбора кандидатов на вакансии СГОО «КЛК «МАРКИЗА» среди соискателей;

- установления трудовых отношений.

 

2.8. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной, выгодоприобретателем или поручителем по которому является субъект ПДн.

 

2.9. Обрабатываемые ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

 

3. Персональные данные, обрабатываемые Организацией.

 

3.1. В целях ведения реестра членов СГОО «КЛК «МАРКИЗА», проведения выставок СГОО «КЛК «МАРКИЗА», отбора кандидатов на вакансии СГОО «КЛК «МАРКИЗА» среди соискателей и установления трудовых отношений, а также на основании ФЗ «О персональных данных» в Организации обрабатывается информация следующих типов субъектов ПДн:

- члены СГОО «КЛК «МАРКИЗА»;

- экспоненты выставок, устраиваемых СГОО «КЛК «МАРКИЗА»;

- работники СГОО «КЛК «МАРКИЗА»;

- соискатели на вакансии СГОО «КЛК «МАРКИЗА». 

Данный перечень может пересматриваться по мере необходимости.

 

3.2. ПДн работников Организации обрабатываются в соответствии с Трудовым кодексом Российской Федерации.

 

3.3. В информационной системе ПДн СГОО «КЛК «МАРКИЗА» обрабатываются следующие ПДн субъектов ПДн СГОО «КЛК «МАРКИЗА»:

 

члены СГОО «КЛК «МАРКИЗА»:

- город, страна;

- фото (аватар);

- фамилия, имя, отчество;

- электронная почта;

- мобильный телефон.

 

экспоненты (участники) выставок, устраиваемых СГОО «КЛК «МАРКИЗА»:

- город, страна;

- фамилия, имя, отчество;

- электронная почта;

- мобильный телефон;

- сайт питомника экспонента.

 

работники   СГОО «КЛК «МАРКИЗА»:

- город, страна;

- полный адрес проживания;

- фото (аватар);

- фамилия, имя, отчество;

- дата рождения;

- паспорт гражданина РФ: серия  № , выдан , дата выдачи, код подразделения,

- семейное положение;

- профессия;

- электронная почта;

- мобильный телефон;

- сайт питомника.

соискатели на вакансии   СГОО «КЛК «МАРКИЗА»:

- город, страна;

- полный адрес проживания;

- фото (аватар);

- фамилия, имя, отчество;

- дата рождения;

- паспорт гражданина РФ: серия  № , выдан , дата выдачи, код подразделения,

- семейное положение;

- профессия;

- электронная почта;

- мобильный телефон;

- сайт питомника.

 

4. Уведомление в Роскомнадзор об обработке ПДн. Случаи и порядок направления уведомления.

 

4.1. В соответствии с ФЗ «О персональных данных» Организация является оператором ПДн.

 

4.2. В соответствии с п. 1 ст. 22 ФЗ «О персональных данных» оператор ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн.

Форма уведомления, порядок заполнения и направления осуществляется в соответствии с установленными требованиями уполномоченного органа по защите прав субъектов ПДн.

 

4.3. В случае неполноты или изменения сведений, указанных в уведомлении, Организация обязана уведомить об изменениях уполномоченный орган по защите прав субъектов ПДн.

 

4.4. Организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов ПДн обработку ПДн:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов ПДн;

4) сделанных субъектом ПДн общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов ПДн;

6) включенных в информационные системы ПДн, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

7) включенных в информационные системы ПДн, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

5. Согласие на обработку ПДн. Случаи и порядок получения согласия.

 

5.1. Обработка ПДн допускается без согласия субъекта ПДн в следующих случаях:

1) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

2) обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

3) обработка ПДн необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от «27» июля 2010 года № 210-ФЗ
«Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта ПДн на едином портале государственных и муниципальных услуг;

4) обработка ПДн необходима для исполнения договора (гражданско-правового или трудового), стороной, выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

5) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

6) обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

7) обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;

8) обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;

9) осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее — ПДн, сделанные общедоступными субъектом ПДн);

10) осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

 

5.2. Соискатели на вакансии Организации при заполнении анкет должны предоставлять согласие на обработку ПДн, указанных в анкетах, поскольку на момент прохождения собеседования и заполнения анкеты трудовые отношения между Организацией и соискателем еще не возникли.

 

5.3. Получения согласия на обработку ПДн клиентов по гражданско-правовым договорам не требуется, если ПДн передаются в момент и после заключения договора.

 

5.4. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев (полный перечень установлен п. 2 ст. 10 ФЗ «О защите персональных данных»):

-                   субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

-                   обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;

-                   обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

В СГОО «КЛК «МАРКИЗА» не осуществляется обработка ПДн, указанных в настоящем пункте.

 

5.5. В случае трансграничной передачи ПДн сотрудников или клиентов Организации необходимо получать согласие субъектов ПДн на обработку ПДн. Трансграничная обработка осуществляется в соответствии с положениями ст. 12 ФЗ «О персональных данных».

Обработка ПДн СГОО «КЛК «МАРКИЗА» не подразумевает трансграничную передачу.

 

5.6. Порядок получения согласия на обработку ПДн:

5.6.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются оператором.

5.6.2. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн, если это необходимо в целях исполнения заключенного договора с субъектом ПДн, а также в иных случаях, установленных в п.п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».

5.6.3. Согласие в письменной форме субъекта ПДн на обработку его ПДн не требуется, так как перечень ПДн не включает в себя ПДн, требующие обязательного согласия в письменной форме.

5.6.4. Согласие на обработку ПДн в СГОО «КЛК «МАРКИЗА» осуществляется путем получения письменного согласия на обработку ПДн.

 

5.7 Отзыв согласия осуществляется путем подачи письменного заявления через электронную почту или по почте на адрес Организации, указанный в контактных данных.

 

6. Права субъекта в отношении ПДн, обрабатываемых в Организации.

 

6.1. Субъект ПДн имеет право на получение информации (далее — сведения), касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн оператором;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые оператором способы обработки ПДн;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

 

6.2. Субъект ПДн вправе требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

 

6.3. Сведения должны быть предоставлены субъекту ПДн оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

 

6.4. В случае, если сведения, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 ФЗ «О персональных данных», и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

 

6.5. Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн.

В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн.

Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

 

6.6. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

 

6.7. Если обязанность предоставления ПДн установлена федеральным законом, Организация обязана разъяснить субъекту ПДн юридические последствия отказа предоставить свои ПДн.

7. Порядок обработки и защиты персональных данных.

 

7.1. Организация обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

 

7.2. Организация приняла все возможные меры по защите информации и ПНд путем установки в отделах (у сотрудников), имеющих допуск к обработке соответствующих ПДн, необходимого количества шкафов, запирающихся на замок и предназначенных для хранения ПДн и иной информации.

 

7.3. Требования к работникам в связи с обработкой ПДн.

7.3.1. Обязанности работников, связанные с обработкой ПДн, установлены в Соглашении о неразглашении ПДн.

7.3.2. Обеспечение конфиденциальности ПДн, обрабатывающихся в Организации, является обязательным требованием для всех сотрудников Организации, которым ПДн стали известны.

7.3.3. Все лица, допущенные к работе с ПДн, должны быть под роспись ознакомлены с требованиями настоящего Положения и Соглашения о неразглашении ПДн.

7.3.4. В случае нарушения установленного порядка обработки ПДн работники Организации несут ответственность в соответствии с разделом 9 настоящего Положения.

 

7.4. Доступ к ПДн.

7.4.1. В Организации установлен разрешительный порядок доступа к ПДн. Сотрудникам Организации предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения Президента правления СГОО «КЛК «МАРКИЗА».

7.4.2. Сотрудники Организации, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей.

7.4.3. Список лиц, имеющих доступ к ПДн для информационной системы, должен поддерживаться в актуальном состоянии.

7.4.4. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Организации по согласованию с Президентом правления СГОО «КЛК «МАРКИЗА».

7.4.5. Доступ к ПДн третьих лиц, не являющихся сотрудниками Организации, без согласия субъекта ПДн запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома Президента правления СГОО «КЛК «МАРКИЗА».

Если сотруднику сторонней организации необходим доступ к ПДн Организации, необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и ее сотрудников по соблюдению требований действующего законодательства в области защиты ПДн. Кроме того, в случае доступа к ПДн лиц, не являющихся сотрудниками Организации, должно быть получено согласие субъектов ПДн на предоставление их ПДн третьим лицам. Указанное согласие не требуется, если ПДн предоставляются в целях исполнения гражданско-правового договора, заключенного Организацией с субъектом ПДн.

7.4.6. Доступ сотрудника Организации к ПДн прекращается с даты прекращения трудовых отношений, либо даты изменения должностных обязанностей сотрудника и/или исключения сотрудника из списка лиц, имеющих право доступа к ПДн. В случае увольнения все носители, содержащие ПДн, которые в соответствии с должностными обязанностями находились в распоряжении работника во время работы в Организации, должны быть переданы соответствующему должностному лицу Организации.

7.4.7. Сотрудники обязаны незамедлительно сообщать соответствующему должностному лицу Организации об утрате или недостаче носителей информации, составляющей ПДн, а также о причинах и условиях возможной утечки ПДн. В случае попытки посторонних лиц получить от работника ПДн, обрабатываемые в Организации, незамедлительно известить об этом соответствующее должностное лицо Организации.

 

7.5. ПДн субъектов на бумажных носителях, обрабатываемые Организацией, хранятся в отделах (у сотрудников), имеющих допуск к обработке соответствующих ПДн. Право допуска сотрудников определяется в соответствии с п. 8.7 настоящего Положения. Носители ПДн не должны оставаться без присмотра.

 

7.6. Документы, содержащие ПДн, хранятся в офисах Организации, в соответствии с
п. 7.2 настоящего Положения размещаются на полках шкафа (шкафов) и запираются на ключ. Ответственное лицо, осуществляющее контроль - Президент правления СГОО «КЛК «МАРКИЗА».

Выдача документов для ознакомления осуществляется лицам, допущенным к соответствующей информации в целях исполнения должностных обязанностей, на срок не более одного рабочего дня.

 

7.7. Сотрудники, осуществляющие обработку ПДн, должны быть ознакомлены с настоящим Положением.

 

7.8. Особенности обработки ПДн, содержащихся на бумажных носителях, без использования средств автоматизации (при составлении документов не используется ПЭВМ) установлены в соответствии с Постановлением Правительства РФ от «15» сентября  2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

7.8.1. При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.

7.8.2. При неавтоматизированной обработке ПДн на бумажных носителях:

- не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы;

- ПДн должны обособляться от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

7.8.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее — типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;

б) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн - при необходимости получения письменного согласия на обработку ПДн;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

г) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

 

7.9. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

7.10. Случаи уничтожения, блокирования и уточнения ПДн.

 В случае выявления недостоверных ПДн или неправомерных действий с ними Организация при обращении или по запросу субъекта ПДн или его законного представителя либо уполномоченного органа по защите прав субъектов ПДн обязана осуществить блокирование ПДн, относящихся к соответствующему субъекту ПДн, с момента такого обращения или получения такого запроса на период проверки. Блокирование осуществляется на основании распоряжения (приказа) Президента правления СГОО «КЛК «МАРКИЗА» путем прекращения каких-либо действий с ПДн.

 В случае подтверждения факта неточности ПДн Организация на основании документов, представленных субъектом ПДн или его законным представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязана уточнить ПДн (внести изменения) и снять их блокирование.

 В случае выявления неправомерных действий с ПДн Организация в срок, не превышающий трех рабочих дней с даты такого выявления, обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Организация в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с ПДн, обязана уничтожить ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Организация обязана уведомить субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн - также указанный орган.

 В случае достижения цели обработки ПДн Организация обязана незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий 30 рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором с субъектом ПДн и уведомить об этом субъекта ПДн или его законного представителя.

 В случае отзыва субъектом ПДн согласия на обработку своих ПДн Организация обязана прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий 30 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Организацией и субъектом ПДн. Об уничтожении ПДн Организация обязана уведомить субъекта ПДн.

 Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

 Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

 

7.11. Уничтожение носителей, содержащих ПДн, осуществляется в следующем порядке:

 ПДн на бумажных носителях уничтожаются путем использования шредеров (уничтожители документов), установленных в офисе Организации.

Об уничтожении носителя информации составляется Акт.

 

7.12. Требования к помещениям, в которых обрабатываются ПДн.

7.12.1. Доступ в помещения, в которых располагаются средства обработки ПДн, должен контролироваться.

7.12.2. Офис, помещения Организации по окончании рабочего дня и отсутствии сотрудников в офисных помещениях должны запираться, окна должны быть закрыты, должна быть включена сигнализация (при наличии).

 

 

7.13. Организация внутреннего контроля обработки и обеспечения безопасности ПДн.

7.13.1. Организация внутреннего контроля процесса обработки ПДн в Организации осуществляется в целях изучения и оценки фактического состояния защищенности ПДн, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.

7.13.2. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:

 - обеспечение соблюдения сотрудниками Организации требований настоящего Положения и нормативно-правовых актов, регулирующих сферу ПДн;

 - оценка компетентности персонала, задействованного в обработке ПДн;

- выявление нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений;

 - принятие корректирующих мер, направленных на устранение выявленных нарушений в порядке обработки ПДн;

 - разработка рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий;

 - осуществление внутреннего контроля за исполнением рекомендаций и указаний по устранению нарушений.

7.13.3. Результаты контрольных мероприятий оформляются актами и являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн, по обучению и повышению компетентности персонала, задействованного в обработке ПДн.

8. Особенности обработки ПДн сотрудников Организации.

 

В настоящем разделе установлены дополнительные права и обязанности Организации и работников при обработке ПДн работников в Организации.

 

8.1. ПДн работника — информация, необходимая Организации в связи с трудовыми отношениями и касающаяся конкретного работника.

 

8.2. Обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

 

8.3. Организация не имеет права получать и обрабатывать ПДн работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

 

8.4. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

 

8.5. Организация обязуется не сообщать ПДн работника в коммерческих целях без его письменного согласия.

 

8.6. Организация обязуется предупредить сотрудников Организации, третьих лиц, получающих ПДн работника (при его согласии), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн работника, обязаны соблюдать режим секретности (конфиденциальности). Режим конфиденциальности обеспечивается подписанием с лицом соглашения. Данное положение не распространяется на обмен ПДн работников в порядке, установленном Трудовым Кодексом и иными федеральными законами;

 

8.7. Доступ к ПДн работников предоставляется сотрудникам Организации, указанным в списке допущенных к обработке ПДн в целях исполнения ими должностных обязанностей по ведению кадрового делопроизводства, выполнения административно-хозяйственных и организационно-распорядительных функций.

 

8.8. Организация обязуется не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

 

8.9. Организация обязуется передавать ПДн работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.

 

8.10. Работник имеет право на определение своих представителей для защиты своих ПДн.

 

8.11. Организация обязана осуществлять передачу ПДн сотрудников в пределах Организации в соответствии с настоящим Положением.

 

9. Ответственность за нарушение настоящего положения.

 

9.1. Руководство Организации несет ответственность за необеспечение конфиденциальности ПДн и несоблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

 

9.2. Работники Организации несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.

 

9.3. Работник Организации может быть привлечен к ответственности в случаях:

 - умышленного или неосторожного раскрытия ПДн;

 - утраты материальных носителей ПДн;

 - нарушения требований настоящего Положения и других нормативных документов Организации в части вопросов доступа и работы с ПДн.

 

9.4. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Организации, ее работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Готовый сайт из галереясайтов.рф