Положение о порядке работы с персональными данными и их защите Федерального государственного бюджетного учреждения науки Центра по проблемам экологии и продуктивности лесов им. А.С. Исаева Российской академии наук (Скачать)
1. Общие положения
1.1. Настоящее положение о порядке работы с персональными данными и их защите Федерального государственного бюджетного учреждения науки Центра по проблемам экологии и продуктивности лесов им. А.С. Исаева Российской академии наук (далее – Положение) определяет цели, порядок, условия, способы обработки персональных данных, основные требования к работе с персональными данными и их защите в Федеральном государственном бюджетном учреждении науки Центре по проблемам экологии и продуктивности лесов им. А.С. Исаева Российской академии наук (далее – Оператор, ЦЭПЛ РАН), порядок их использования, хранения и уничтожения с целью защиты от несанкционированного доступа, неправомерного использования или утраты.
1.2. Положение регламентируется:
– Конституцией Российской Федерации,
– Трудовым кодексом РФ,
– Гражданским кодексом РФ,
– Федеральным законом «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 года,
– Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 года (далее – Федеральный закон),
– Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационной системе персональных данных»;
– Постановлением Правительства Российской Федерации от 18.11.2013 г. № 1035 «О федеральной информационной системе государственной научной аттестации»;
– Федеральным законом от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;
– Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Правилами внутреннего трудового распорядка Федерального государственного бюджетного учреждения науки Центра по проблемам экологии и продуктивности лесов им. А.С. Исаева Российской академии наук и другими нормативными правовыми актами.
1.3. Цель разработки Положения:
– определение порядка обработки и защиты персональных данных субъектов персональных данных в ЦЭПЛ РАН (далее – ПДн);
– обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных в ЦЭПЛ РАН;
– установления процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации о персональных данных, иных правовых актов Российской Федерации, внутренних документов ЦЭПЛ РАН по вопросам обработки и защиты персональных данных;
– определения целей обработки персональных данных в информационных системах, используемых ЦЭПЛ РАН в установленной сфере деятельности, включая содержание обрабатываемых персональных данных, категории субъектов персональных данных, данные которых обрабатываются, сроки обработки (в том числе хранения) обрабатываемых персональных данных, а также порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных оснований;
– установления ответственности работников ЦЭПЛ РАН, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку персональных данных, установленных законодательством Российской Федерации, настоящим Положением и иными локальными актами ЦЭПЛ РАН.
1.4. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством РФ в области персональных данных.
1.5. Положение является локальным нормативным актом Оператора, обязательным для работников Оператора и иных лиц, участвующих в обработке персональных данных в соответствии с настоящим Положением.
1.6. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 50/75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии ЦЭПЛ РАН, если иное не определено законом.
2. Термины и определения
2.1. Для целей настоящего Положения применяются следующие понятия:
– Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными[1];
– Работник – лицо, состоящее в трудовых отношениях с Оператором;
– Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн)., в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация, необходимая Оператору.[2];
– Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных[3];
– Персональные данные, разрешенные Субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом путем дачи согласия на обработку персональных данных, разрешенных для распространения;
– Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники[4];
– Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств5;
– Безопасность информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию[5];
– Доступность информации (ресурсов информационной системы) – состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовать их беспрепятственно[6];
– Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем[7];
– Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
– Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно – телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
– Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных;
– Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных;
– Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
– Информация — сведения (сообщения, данные) независимо от формы их представления;
– Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
– Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель
– Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
– Правила разграничения доступа – cовокупность правил, регламентирующих права доступа сотрудников Оператора к ИСПДн.
Несанкционированный доступ (НСД) (несанкционированные действия) – намеренный или случайный доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.
Пользователь ИСПДн – лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.
3. Принципы, сбор и общие правила обработки персональных данных
3.1. При обработке персональных данных Оператор соблюдает следующие принципы:
– Обработка персональных данных осуществляется на законной и справедливой основе.
– Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Оператор не осуществляет обработку, не совместимую с целями сбора персональных данных.
– Оператор не допускает объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
– Оператор обрабатывает только те персональные данные, которые отвечают целям обработки. Цели обработки персональных данных могут происходить из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой им деятельности и конкретных бизнес-процессов.
– Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Субъекту гарантируется, что обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
– При обработке персональных данных Оператор обеспечивает точность персональных данных Субъекта, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор принимает меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных персональных данных Субъекта.
3.2. Все персональные данные Оператор получает непосредственно у Субъекта. В случаях, когда персональные данные возможно получить Оператором только у третьей стороны, то Субъект должен быть уведомлен об этом заранее. Оператор сообщает Субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта дать письменное согласие на их получение (Приложение № 1). Получение персональных данных от третьих лиц допускается только с согласия Субъекта (Приложение № 2).
Персональные данные субъекта ПД являются конфиденциальной информацией и не могут быть использованы Работодателем или любым иным лицом в личных целях.
3.3 Обработка персональных данных Субъекта осуществляется с его согласия на обработку персональных данных (Приложение № 3), за исключением установленных законодательством случаев.
3.4. Обработка персональных данных допускается без согласия Субъекта при необходимости:
– Достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством на Оператора функций, полномочий и обязанностей.
– Исполнения судебного акта, акта другого органа/должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве.
– Исполнения договора, стороной которого либо выгодоприобретателем/поручителем, по которому является Субъект, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем/поручителем.
– Защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение согласия субъекта персональных данных невозможно.
– В других ситуациях, предусмотренных законодательством.
3.5. Субъект принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным, предметным, однозначным. Оператор разъясняет Субъекту юридические последствия отказа предоставить согласие на обработку персональных данных, равно как непосредственно персональные данные (Приложение № 4).
3.6. Письменное согласие субъекта ПД на обработку своих персональных данных должно включать в себя:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие, а также порядок его отзыва.
3.7. Обработка персональных данных соискателей на замещение вакантных должностей у Работодателя предполагает получение их согласия на обработку персональных данных на период принятия Оператором решения о приеме либо отказе в приеме на работу (Приложение № 10).
3.8. Обработка персональных данных аспирантов ЦЭПЛ РАН предполагает получение их согласия на обработку персональных данных на период обучения в аспирантуре (Приложение № 11).
3.9. Согласие на обработку персональных данных может быть отозвано Субъектом. Форма отзыва Субъекта согласия на обработку персональных данных прилагается к настоящему Положению (Приложение № 7). В этом случае Оператор прекращает обработку персональных данных Субъекта/обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных Субъекта более не требуется для целей их обработки, уничтожает персональные данные (обеспечивает уничтожение) в течение 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением между Оператором и Субъектом. Оператор вправе продолжить обработку персональных данных Субъекта без его согласия при наличии оснований, установленных законодательством, о чем Субъект уведомляется в письменной форме.
3.10. На основании ст. 9 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 года Работник передает собственные персональные данные. При уклонении от предоставления информации о родственниках работодатель не вправе их требовать.
Если случаи обработки конфиденциальной информации не предусмотрены действующим законодательством, необходимо получить согласие на обработку персональных данных от самого Работника, от его родственников (жены, мужа, брата, сестры, родителей, совершеннолетних детей) и иных третьих лиц, чьи персональные данные подлежат обработке (Приложение № 9).
3.11. Оператор осуществляет смешанную (как неавтоматизированную, так и автоматизированную) обработку персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям и без таковой.
3.12. При обработке персональных данных Оператор, используя средства автоматизации, совершает следующие действия с персональными данными: сбор, систематизацию, хранение, уточнение (обновление, изменение), использование, передачу (предоставление, доступ, распространение), блокирование, удаление, уничтожение. При этом Оператор использует базы данных, которые находятся на территории Российской Федерации.
3.13. При обработке персональных данных Оператор, не используя средства автоматизации (неавтоматизированная обработка), совершает следующие действия с персональными данными: бор, запись, накопление, хранение, уточнение (обновление, изменение), использование, передачу (предоставление, доступ, распространение), уничтожение.
3.14. После увольнения персональные данные работника хранятся у Оператора в течение предусмотренного законодательством срока хранения.
3.15. Оператор обрабатывает персональные данные уволенного работника в порядке и в сроки, предусмотренные законодательством, в целях исполнения требований нормативных правовых актов в сфере налогового права, порядка организации и ведения бухгалтерского учета. По истечении сроков, определенных законодательством, Работодатель организует архивное хранение персональных данных работника.
3.16. Обработка персональных данных осуществляется Оператором в течение срока, необходимого для выполнения целей, для которых они собирались.
3.17. Обработка персональных данных прекращается Оператором в следующих случаях:
– Достижение целей обработки персональных данных.
– Истечение срока действия согласия на обработку персональных данных.
– Отзыв согласия субъекта персональных данных на обработку его персональных данных.
– Расторжение трудового договора.
4. Порядок и сроки хранения персональных данных
4.1. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем / поручителем по которому является Субъект.
4.2. Сведения о Субъекте хранятся на бумажных носителях в месте, утвержденном Оператором, а в случае поручения обработки персональных данных Субъекта другому лицу на основании договора, – также по месту нахождения указанного лица.
4.3. Все документы, содержащие персональные данные Субъектов на бумажных носителях, хранятся у Оператора в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. Трудовые книжки работников хранятся в сейфе по месту регистрации Оператора. Доступ к сейфу имеет только Оператор.
4.4. Обеспечивается раздельное хранение бумажных носителей персональных данных работников и бумажных носителей персональных данных иных лиц (то есть хранение способом, при котором работник, получающий доступ к персональным данным других работников, не получает одновременно доступ к персональным данным иных лиц).
4.5. Оператор принимает необходимые меры (обеспечивает принятие мер) для защиты персональных данных Субъекта от неправомерного использования или утраты.
4.6. Персональные данные Субъектов, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты.
4.7. Доступ к электронным базам данных, содержащим персональные данные Субъекта, обеспечивается разграниченным доступом.
4.8. Персональные данные Субъекта хранятся в Российской Федерации. Оператор осуществляет обработку персональных данных с использованием баз данных, находящихся на территории Российской Федерации. Оператор не осуществляет трансграничную передачу персональных данных.
4.9. При работе с документами, содержащими персональные данные, запрещается оставлять их на рабочем месте или оставлять шкафы (сейфы, металлические ящики и/или иные хранилища) с данными документами, открытыми (незапертыми) в случае выхода из рабочего помещения.
4.10. Сроки хранения персональных данных Субъектов определяются в соответствии со сроками, установленными Приказом Росархива от 20.12.2019 № 236, а также иными требованиями законодательства и нормативными документами.
4.11. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки / в случае утраты необходимости в достижении этих целей / отзыва Субъектом согласия на обработку.
5. Защита персональных данных
5.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, и незаконных форм обработки.
5.2. Защиту персональных данных Субъекта от неправомерного их использования или утраты Оператор обеспечивает за счет собственных средств.
5.3. Для обеспечения внутренней защиты персональных данных Субъекта Оператор соблюдает следующие меры:
– Назначает лицо, ответственное за организацию и обеспечение безопасности персональных данных.
– Издает локальные акты по вопросам обработки персональных данных, знакомит с ними работников Оператора под подпись.
– Ограничивает круг лиц, имеющих доступ к персональным данным. Все лица, связанные с получением, обработкой и защитой персональных данных Субъекта, подписывают обязательство о неразглашении персональных данных Субъекта (Приложение № 8).
– Знакомит работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучает указанных работников.
– Утверждает места хранения персональных данных на бумажных носителях.
– Внедряет программные и технические средства защиты информации в электронном виде.
– Проводит расследование случаев несанкционированного доступа или разглашения персональных данных с привлечением виновных к ответственности, принятием иных мер.
– Восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним.
– Использует сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
– Осуществляет резервное копирование информации.
– Организует порядок уничтожения информации, содержащей персональные данные, если законодательством не установлены требования по хранению соответствующих данных.
– Осуществляет внутренний контроль (аудит) соответствия обработки персональных данных законодательству о персональных данных, локальным актам Оператора.
– Проводит оценку вреда, который может быть причинен Субъекту в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством.
5.4. Ответственное лицо за организацию и обеспечение безопасности персональных данных:
– осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, в том числе требований к защите персональных данных;
– доводит до сведения работников Оператора положения законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
-организует прием и обработку обращений и запросов Субъектов (их представителей) и / или осуществлять контроль за приемом и обработкой таких обращений и запросов.
5.5. Лица, заинтересованные в частичном допуске к обработке ПД других субъектов ПД, направляют директору ЦЭПЛ РАН мотивированное ходатайство, в котором излагают:
– цель допуска к обработке персональных данных других работников;
– перечень персональных данных, допуск к обработке которых необходим;
– обоснование необходимости и целесообразности допуска к обработке персональных данных других работников.
По результатам рассмотрения ходатайства директор ЦЭПЛ РАН издает приказ о допуске работника к обработке персональных данных других субъектов ПД либо принимает решение об отказе в допуске с указанием причин отказа.
5.6. Допуск к обработке персональных данных работников прекращается:
– при увольнении работника, имеющего допуск;
– при переводе работника, имеющего допуск, на должность, выполнение работ по которой уже не требует допуска к обработке персональных данных.
Допуск к обработке персональных данных может быть дополнительно прекращен по письменному решению директора ЦЭПЛ РАН.
5.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Оператор с момента выявления такого инцидента уведомляет Роскомнадзор:
– В течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъекта, и предполагаемом вреде, нанесенном правам Субъекта, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом.
– В течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6. Передача персональных данных
6.1. Внутренняя передача (доступ):
– Оператор обеспечивает ограничение доступа к персональным данным Субъекта лицам, не уполномоченным законом либо Оператором для получения соответствующих сведений.
6.2. Внутренний доступ к персональным данным, которые обрабатывает Оператор, имеют:
– ЦЭПЛ РАН.
– Субъект (носитель данных).
– Иные лица, утвержденные приказом Оператора. Лица, имеющие доступ к персональным данным Субъекта, дают письменное обязательство о неразглашении персональных данных (Приложение № 8).
6.3. Внешняя передача (доступ, предоставление, распространение):
– Оператор не передает персональные данные Субъекта третьей стороне (внешняя передача), в том числе в коммерческих целях, без письменного согласия Субъекта (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных законодательством). Содержание и объём обрабатываемых (предоставляемых) персональных данных должен соответствовать заявленным целям обработки. На каждую передачу персональных данных Субъекта третьим лицам Оператор оформляет отдельное письменное согласие на передачу персональных данных на обработку конкретному третьему лицу (Приложение № 5). Передача ПДн третьим лицам допускается в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных, при условии соблюдения требований законодательства РФ.
– Оператор вправе поручить обработку персональных данных Субъекта другому лицу с согласия Субъекта, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством.
– В случае обращения к Оператору любых третьих лиц за информацией о персональных данных Субъекта, такая информация может быть представлена только на основании письменного запроса, содержащего причину обращения, реквизиты заявителя, с указанием четкого перечня информации, которую хотел бы получить заявитель. Передача персональных данных Субъекта возможна только с согласия Субъекта или в случаях, прямо предусмотренных законодательством.
– При передаче персональных данных Субъекта третьему лицу, в том числе при поручении их обработки другому лицу, Оператор предупреждает его о том, что эти данные могут быть использованы исключительно в целях, для которой они сообщены, и вправе требовать от лица подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Субъекта, обязаны соблюдать режим секретности (конфиденциальности).
– Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
– Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения работника.
– Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте.
– В случае необходимости раскрытия персональных данных Субъекта неопределенному кругу лиц, Оператор обязан получить согласие на обработку персональных данных, разрешенных Субъектом для распространения (Приложение № 6). Данное согласие оформляется отдельно от иных согласий Субъекта.
– Субъект вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 (трех) рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 (трех) рабочих дней с момента вступления решения суда в законную силу.
6.4. Запрещается передавать персональные данные через иностранные мессенджеры (discord, microsoft teams, skype for business, snapchat, telegram, threema, viber, whatsApp, weChat).
6.5. ПДн могут быть переданы как на бумажном носителе, так и в электронном виде. При передаче ПДн в электронном виде по не доверенным каналам связи, в том числе при использовании сети Интернет, могут применяться сертифицированные уполномоченным органом государственной власти средства криптографической защиты информации.
Средства криптографической защиты информации не применяются в случаях:
(а) информационного взаимодействия ИСПДн по доверенным каналам связи в рамках защищенной корпоративной сети передачи данных Оператора;
(б) при записи на учтенные машинные носители информации, включая сменные машинные носители информации.
6.6. Информация, относящаяся к ПДн, может быть предоставлена государственным и муниципальным органам в порядке, установленном законодательством РФ.
6.7. Ответственность за соблюдение вышеуказанного порядка предоставления ПДн несет работник Оператора, а также руководитель структурного подразделения Оператора, осуществляющего передачу ПДн третьим лицам.
7. Уничтожение персональных данных
7.1. Обрабатываемые персональные данные Субъекта подлежат уничтожению по истечении срока хранения, достижения цели обработки, в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
7.2. Порядок уничтожения персональных данных устанавливается отдельным локальным нормативным актом Оператора.
8. Требования к помещениям, в которых производится обработка персональных данных
8.1. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
8.2. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.
8.3. Определение уровня специального оборудования помещения осуществляется специально создаваемой комиссией. По результатам определения класса и обследования помещения на предмет его соответствия такому классу составляются акты.
8.4. Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, реализуются дополнительные требования, определяемые методическими документами Федеральной службы безопасности России.
9 Порядок предоставления доступа к ПДн сотрудникам Оператора
9.1 Доступ к ПДн предоставляется только тем работникам Оператора, служебные обязанности которых предполагают работу с информацией данной категории, и только на период наличия указанной необходимости.
9.2 Работники Оператора, имеющие доступ к ПДн, имеют право получать только те ПДн, которые необходимы им для выполнения своих должностных обязанностей.
9.3 Допуск к ПДн работников Оператора, чьи служебные обязанности не предполагают необходимости обработки соответствующих ПДн, запрещается.
9.4 Процедура оформления допуска работников Оператора к ПДн включает в себя:
(а) истребование от работника письменного обязательства о неразглашении сведений конфиденциального характера, подготовленного по установленной форме (Приложение 8).
(б) ознакомление работника под роспись с настоящим Положением и иными локальными нормативными актами Оператора (приказами, распоряжениями, положениями, инструкциями и т.п.), регулирующими обработку и защиту ПДн.
- Процедура предоставления доступа к ПДн, обрабатываемых в ИСПДн, осуществляется в установленном порядке лицом, администрирующим ИСПДн Оператора на основании заявки.
- Организацию и контроль за защитой ПДн физических лиц в структурных подразделениях Оператора, сотрудники которых имеют доступ к ПДн, осуществляют их непосредственные руководители, а также лицо, ответственное за организацию обработки персональных данных.
10. Права и обязанности субъекта персональных данных
10.1. В целях защиты персональных данных, хранящихся у Оператора, Субъект имеет право:
10.1.1. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- применяемые Оператором способы обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления Субъектом прав, предусмотренных Федеральным законом «О персональных данных».
- иные сведения, предусмотренные законодательством.
10.1.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством. Оператор предоставляет Субъекту возможность ознакомления с персональными данными, относящимися к Субъекту. Доступ Субъекта к его персональным данным возможен при условии, что он нарушает права и законные интересы третьих лиц.
10.1.3. Требовать исключения, исправления (уточнения), блокирования, уничтожения неверных/неполных/неактуальных/неточных/незаконно полученных персональных данных, а также данных, обработанных с нарушением требований законодательства.
10.1.4. Требовать от Оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
10.1.5. Определять представителей для защиты своих персональных данных.
10.1.6. На сохранение и защиту своей личной и семейной тайны.
10.1.7. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных (далее – Роскомнадзор) или суд любые неправомерные действия или бездействия Оператора при обработке и защите его персональных данных. Субъект имеет право на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
10.2. Субъект обязан:
10.2.1. Предоставлять Оператору документы и информацию, содержащие персональные данные, в объеме, предусмотренном законом или необходимом для осуществления взаимных прав и обязанностей Субъекта и Оператора.
10.2.2. Предоставлять Оператору актуальные, достоверные и точные сведения о себе.
10.2.3. В срок, не превышающий одного месяца, сообщать Оператору в письменном виде с приложением подтверждающих документов об изменении своих персональных данных, включая фамилию, имя, отчество, адрес фактического места жительства, паспортные данные, сведения о состоянии здоровья (вследствие выявленных в соответствии с медицинским заключением противопоказаний для выполнения Субъектом его должностных обязанностей) и др.
10.3. Неисполнение или ненадлежащее исполнение Субъектом указанных обязанностей, в том числе путем непредоставления запрошенных документов, персональных данных или разъяснений может затруднить или сделать невозможным осуществление взаимных прав и обязанностей Субъекта и Оператора. В этом случае Оператор не будет отвечать за неблагоприятные последствия, наступившие вследствие недобросовестных действий со стороны Субъекта.
11. Права и обязанности Оператора:
11.1. Оператор имеет право:
11.1.1. Получать от Субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные.
11.1.2. Проверять достоверность сведений, предоставленных Субъектами, сверяя их с имеющимися подлинными документами.
11.1.3. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством.
11.2. Оператор обязан:
11.2.1. Обеспечивать обработку персональных данных исключительно в целях, для которых они были собраны.
11.2.2. Предоставлять Субъекту персональных данных информацию, касающуюся обработки его персональных данных.
11.2.3. Организовывать обработку персональных данных в порядке, установленном законодательством.
11.2.4. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11.2.5. Отвечать на обращения и запросы Субъектов (их представителей) и Роскомнадзор в порядке и сроки, установленные Федеральным законом «О персональных данных».
11.2.6. При отказе Субъекта в предоставлении персональных данных – разъяснить последствия такого отказа.
11.2.7. Прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Федеральным законом «О персональных данных».
11.2.8. Исполнять иные обязанности, предусмотренные Федеральным законом «О персональных данных».
11.3. Работники, допущенные к работе с персональными данными Субъектов, обязаны:
11.3.1. Соблюдать и исполнять требования настоящего Положения и законодательства РФ в области персональных данных, в том числе, относящиеся к обязанностям Оператора, действуя от его имени.
11.3.2. Сохранять конфиденциальность персональных данных, полученных в связи с исполнением своих трудовых обязанностей.
11.3.3. Не отвечать на вопросы, связанные с передачей персональных данных Субъектов третьим лицам, по телефону или электронной почте, если это не связано с исполнением трудовых обязанностей.
11.3.4. Незамедлительно сообщать Оператору / своему непосредственному руководителю обо всех фактах нарушения конфиденциальности персональных данных или об обстоятельствах, создающих угрозу их разглашения, в том числе, об утрате (хищении) материальных носителей персональных данных (бумажных документов, дисков, флэшнакопителей и др.).
11.3.5. По всем вопросам, связанным с настоящим Положением обращаться к руководителю Оператора/своему непосредственному руководителю.
12. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
12.1. Лица, виновные в нарушении положений законодательства в области персональных данных при обработке персональных данных Субъекта, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
12.2. Оператор и иные лица, получившие доступ к персональным данным Субъекта, обязаны не раскрывать их третьим лицам и не распространять персональные данные без согласия Субъекта, если иное не предусмотрено законодательством.
12.3. Оператор, разрешающий доступ лиц к персональным данным Субъекта, несет персональную ответственность за данный доступ (разрешение).
12.4. Каждый работник, допущенный к работе с персональными данными Субъектов, несет персональную ответственность за сохранность носителей и конфиденциальность данных. Разглашение Работником персональных данных Субъекта, ставших известными ему в связи с исполнением им трудовых обязанностей, может повлечь привлечение Работника к дисциплинарной (вплоть до увольнения), материальной и/или иной ответственности в порядке, предусмотренном действующим законодательством..
12.5. В случае, если Оператор поручает обработку персональных Субъекта другому лицу, ответственность перед Субъектом за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
13. Заключительные положения
13.1. Настоящее Положение вступает в силу с момента его утверждения.
13.2. Оператор обеспечивает неограниченный доступ к настоящему документу.
13.3. Настоящее Положение доводится до сведения всех работников персонально под роспись.
[1] Федеральный закон Российской Федерации от 27.06.2006 № 152-ФЗ «О персональных данных»
[2] Федеральный закон Российской Федерации от 27.06.2006 № 152-ФЗ «О персональных данных»
[3] Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»
[4] Федеральный закон Российской Федерации от 27.06.2006 № 152-ФЗ «О персональных данных»
[5] ГОСТ Р 50922-2006
[6] Р 50.1.056-2005
[7] ГОСТ Р 50739-95
