Положение об обработке и защите персональных данных в Федерации профсоюзов Красноярского края

I. Общие положения

1.1. Положение об обработке и защите персональных данных в Федерации профсоюзов Красноярского края (далее Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.

Настоящее Положение определяет политику Федерации профсоюзов Красноярского края (далее ФПКК) как оператора, осуществляющего обработку и защиту персональных данных в ФПКК и Частном учреждении «Дом Профсоюзов».

1.2. ФПКК осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:

Трудовым кодексом Российской Федерации;

Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее Федеральный закон о персональных данных);

Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказом Роскомнадзора от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

Приказом Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;

Приказом Росархива от 20 декабря 2019 года № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

другими подзаконными нормативными правовыми актами в области обработки и защиты персональных данных;

положением о работе с обращениями граждан в ФНПР и ее членских организациях;

инструкцией по делопроизводству в ФПКК;

локальными нормативными актами;

договорами, заключаемыми между ФПКК, Частным учреждением «Дом Профсоюзов» и субъектами персональных данных;

соглашениями по информационному взаимодействию;

соглашениями о конфиденциальности;

согласиями на обработку персональных данных.

1.3. Обработка персональных данных в ФПКК осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом о персональных данных, а также Политики Федерации профсоюзов Красноярского края в отношении обработки персональных данных.

1.4. В целях обеспечения защиты персональных данных субъекты персональных данных имеют право:

1.4.1. получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

1.4.2. осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством;

1.4.3. требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением действующего законодательства;

1.4.4. требовать уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;

1.4.5. обжаловать любые неправомерные действия или бездействие при обработке и защите персональных данных.

II. Условия и порядок обработки персональных данных

2.1. Субъектами персональных данных являются:

2.1.1. Должностные лица ФПКК, Частного учреждения «Дом Профсоюзов», работники ФПКК, Частного учреждения «Дом Профсоюзов».

2.1.2. Граждане, претендующие на замещение выборных должностей ФПКК, руководящих должностей в учрежденных ФПКК организациях, а также вакантных должностей в ФПКК и Частном учреждении «Дом Профсоюзов».

2.1.3. Физические лица (их представители), обратившиеся в ФПКК и Частное учреждение «Дом Профсоюзов» в письменной форме или в форме электронного документа за консультацией, с предложением, заявлением или жалобой.

2.1.4. Члены коллегиальных органов управления ФПКК, Контрольно-ревизионной комиссии ФПКК; делегаты, приглашенные Конференции ФПКК, председатели Координационных советов организаций профсоюзов, а также участники совещаний и конференций, семинаров и иных мероприятий, проводимых ФПКК.

Заместители руководителей членских организаций ФПКК, кандидаты в состав кадрового резерва на должность руководителя членской организации ФПКК, абитуриенты Академии труда и социальных отношений, Санкт-Петербургского гуманитарного университета профсоюзов по квоте ФНПР, лица, представляемые к наградам ФПКК, ФНПР.

2.1.5. Физические лица, являющиеся стороной гражданско-правовых договоров, или представителями/работниками юридических лиц – стороны гражданско-правовых договоров, заключаемых (заключенных) с ФПКК или Частным учреждением «Дом Профсоюзов».

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.3. Персональные данные субъектов персональных данных, указанных в пункте 2.1.1 настоящего Положения, обрабатываются в целях:

содействия в осуществлении деятельности ФПКК;

ведения кадровой работы;

содействия работникам ФПКК в осуществлении их деятельности, получении образования и должностного роста, контроля количества и качества выполняемой работы;

пенсионного, медицинского обеспечения и оформления соответствующих документов;

реализации мер социального обеспечения;

подачи сведений в Социальный фонд Российской Федерации, Федеральную налоговую службу Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации;

обработки запросов судебных органов, государственных органов по различным вопросам;

охраны труда;

обеспечения контрольно-пропускного режима;

ведения бухгалтерского учета;

обеспечения выплаты заработной платы в рамках банковской услуги «Зарплатный проект»;

обеспечения стационарной и мобильной связью;

обеспечения хозяйственной деятельности;

воинского учета.

2.4. Персональные данные субъектов персональных данных, указанных в пункте 2.1.2 настоящего Положения, обрабатываются в целях осуществления процедур, связанных с выборами и утверждением в должности должностных лиц ФПКК, а также с поступлением на работу в ФПКК и Частное учреждение «Дом Профсоюзов».

2.5. Персональные данные субъектов персональных данных, указанных в пункте 2.1.3 настоящего Положения, обрабатываются в целях рассмотрения в ФПКК обращений, поступивших в ФПКК и Частное учреждение «Дом Профсоюзов» по вопросам, относящимся к компетенции ФПКК и Частного учреждения «Дом Профсоюзов».

2.6. Персональные данные субъектов персональных данных, указанных в пункте 2.1.4 настоящего Положения, обрабатываются в целях осуществления уставной деятельности ФПКК.

2.7. Персональные данные субъектов персональных данных, указанных в пункте 2.1.5 настоящего Положения, обрабатываются в целях обеспечения хозяйственной деятельности ФПКК, Частного учреждения «Дом Профсоюзов».

III. Обрабатываемые персональные данные

3.1. Под обработкой персональных данных в ФПКК, Частном учреждении «Дом Профсоюзов» понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

3.2. В целях, определенных в пунктах 2.3 и 2.4 настоящего Положения, обрабатываются следующие категории персональных данных:

фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения, дата, место и причина их изменения);

дата и место рождения;

документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан);

идентификационный номер налогоплательщика;

адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;

номер контактного телефона, сведения о других способах связи;

реквизиты свидетельства о государственной регистрации актов гражданского состояния;

отношение к воинской обязанности, сведения о воинском учете, реквизиты документа о воинском учете (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);

реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;

реквизиты страхового медицинского полиса обязательного медицинского страхования;

сведения об отчислениях в Федеральную налоговую службу, Социальный фонд Российской Федерации;

сведения о гражданстве (включая изменения гражданства, дату и причину, наличие гражданства (подданства), вида на жительство иностранного государства);

сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

сведения о трудовой деятельности;

сведения о профессиональной переподготовке и (или) повышении квалификации;

сведения об ученой степени, ученом звании;

фотография;

сведения о государственных наградах, иных наградах и знаках отличия;

сведения о заработной плате;

номер расчетного счета, банковской карты;

иные персональные данные, обработка которых необходима для реализации целей, предусмотренных, соответственно, пунктами 2.3 и 2.4 настоящего Положения.

3.3. В целях, определенных в пункте 2.5 настоящего Положения, обрабатываются следующие категории персональных данных:

фамилия, имя, отчество (последнее при наличии);

почтовый адрес;

адрес электронной почты;

указанный в обращении контактный телефон;

иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

3.4. В целях, определенных в пункте 2.6 настоящего Положения, обрабатываются следующие категории персональных данных:

фамилия, имя, отчество (последнее при наличии);

дата и место рождения;

документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан).

место работы (службы) и должность;

иные данные, необходимость обработки которых будет обусловлена особенностями организации работы Конференции ФПКК, а также совещаний и мероприятий, проводимых ФПКК.

3.5. В целях, определенных в пункте 2.7 настоящего Положения, обрабатываются следующие категории персональных данных:

фамилию, имя, отчество субъекта персональных данных;

дату и место рождения субъекта персональных данных;

документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан);

адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;

почтовый адрес субъекта персональных данных;

телефон субъекта персональных данных;

ИНН субъекта персональных данных.

3.6. Субъект персональных данных обязан предоставлять точную и достоверную информацию и своевременно извещать ФПКК и Частное учреждение «Дом Профсоюзов» об изменении своих персональных данных.

IV. Обработка персональных данных

Общий порядок обработки:

4.1. Обработка персональных данных осуществляется в объеме, необходимом для исполнения должностных обязанностей должностными лицами ФПКК, Частного учреждения «Дом Профсоюзов» и работниками ФПКК, Частного учреждения «Дом Профсоюзов».

4.2. Должностные лица ФПКК, Частного учреждения «Дом Профсоюзов» и работники ФПКК, Частного учреждения «Дом Профсоюзов» допускаются к обработке персональных данных, после процедуры допуска, которая включает в себя:

– ознакомление под роспись с локальными нормативными актами ФПКК, регламентирующими порядок и процедуры работы с персональными данными;

– подписание обязательства о неразглашении информации, содержащей персональные данные, типовая форма которого определена в Приложении № 1 к настоящему Положению;

– получение индивидуальных атрибутов права доступа в информационные системы ФПКК, содержащие персональные данные.

Иным лицам обработка персональных данных, собранных в соответствии с настоящим Положением, не поручается.

4.3. Перечень должностей работников ФПКК, Частного учреждения «Дом Профсоюзов», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, определен в приложении № 2 к настоящему Положению.

4.5. Обработка персональных данных субъектов персональных данных, указанных в пункте 2.1.1 настоящего Положения, осуществляется в соответствии с пунктом 2 части 1 статьи 6 Федерального закона о персональных данных, при этом в случаях, когда в соответствии с указанным законом, иными федеральными законами для обработки их персональных данных требуется письменное согласие, – с их письменного согласия (приложения № 3 и № 4).

4.6. Обработка персональных данных субъектов персональных данных, указанных в пункте 2.1.2 настоящего Положения, осуществляется с их письменного согласия (приложение № 5).

4.7. В случае отказа субъектов персональных данных, указанных в пунктах 2.1.1 и 2.1.2 настоящего Положения, предоставить свои персональные данные им под роспись разъясняются юридические последствия отказа предоставить свои персональные данные (приложение № 6).

4.8. Обработка персональных данных субъектов персональных данных, указанных в пунктах 2.1.3 и 2.1.4 настоящего Положения, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 7 части 1 статьи 6 Федерального закона о персональных данных при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

4.9. Обработка персональных данных субъектов персональных данных, указанных в пункте 2.1.5 настоящего Положения, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 5 части 1 статьи 6 Федерального закона о персональных данных.

Получение (сбор) персональных данных:

4.10. Сбор персональных данных осуществляется путем получения их непосредственно от субъекта персональных данных.

В случае возникновения необходимости получения персональных данных у третьей стороны следует заранее известить об этом субъекта персональных данных, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных (за исключением случаев, установленных частью 4 статьи 18 Федерального закона о персональных данных).

4.11. Сбор, запись, систематизация, накопление и уточнение персональных данных осуществляются путем:

получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

формирования персональных данных в ходе их обработки;

внесения персональных данных в информационные системы ФПКК.

4.12. Получение письменных согласий на обработку персональных данных должностных лиц ФПКК, Частного учреждения «Дом Профсоюзов» и работников ФПКК, Частного учреждения «Дом Профсоюзов» в случаях, когда в соответствии с федеральными законами для обработки персональных данных требуется письменное согласие, осуществляется структурным подразделением ФПКК, в полномочия которого входит решение вопроса, в связи с которым требуется получение такого согласия.

Получение письменных согласий на обработку персональных данных граждан, претендующих на замещение вакантных должностей, осуществляется общим отделом ФПКК.

Данные в указанных случаях письменные согласия должностных лиц ФПКК, Частного учреждения «Дом Профсоюзов» и работников ФПКК, Частного учреждения «Дом Профсоюзов» хранятся в их личном деле. Письменные согласия граждан, претендовавших на замещение вакантных должностей, но не принятых на работу, хранятся в общем отделе ФПКК.

Обработка персональных данных без использования средств автоматизации:

4.13. При обработке персональных данных, осуществляемой без использования средств автоматизации, руководителями структурных подразделений ФПКК определяются места хранения персональных данных (материальных носителей) для исключения несанкционированного доступа к ним.

4.14. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

4.15. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

типовая форма (бланк) или связанные с ней документы (инструкции по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;

типовая форма (бланк) должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;

типовая форма (бланк) должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

типовая форма (бланк) не должна допускать фиксацию на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

4.16. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, предпринимаются меры по обеспечению раздельной обработки персональных данных, в частности:

при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

4.17. Данные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

4.18. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Порядок обработки персональных данных в информационных системах персональных данных:

4.19. Обработка персональных данных в ФПКК осуществляется в информационных системах персональных данных по обеспечению финансово-экономической деятельности, электронного документооборота, а также в информационной системе официального сайта ФПКК.

Конкретный перечень используемых в ФПКК информационных систем, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации, утверждается председателем ФПКК.

4.20. Политика в отношении обработки персональных данных на официальном сайте ФПКК, а также сведения о требованиях, реализуемых на данном сайте к защите персональных данных, дополнительно определяется Соглашением о пользовании официальным сайтом ФПКК и должна соответствовать настоящему Положению.

4.21. Работникам структурных подразделений ФПКК, имеющим право осуществлять обработку персональных данных в информационных системах ФПКК, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ к прикладным программным подсистемам предоставляется указанным лицам в соответствии с их должностными инструкциями.

4.22. Сведения в информационные системы могут вноситься как в автоматическом режиме, при получении персональных данных из других информационных систем, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

Порядок работы с обезличенными данными:

4.23. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

4.24. Обезличивание персональных данных может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных.

4.25. Обезличивание персональных данных в ФПКК осуществляется по аналогии с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ», утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года № 996.

4.26. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

4.27. Перечень лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается председателем ФПКК.

Передача персональных данных:

4.28. Передача (распространение, предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляются в случаях и порядке, предусмотренных законодательством Российской Федерации.

4.29. Передача персональных данных субъекта персональных данных третьей стороне (не состоящей с субъектом персональных данных в каких-либо договорных отношениях) не допускается без письменного согласия субъекта персональных, за исключением случаев, установленных федеральным законом.

V. Сроки обработки, хранения персональных данных и порядок уничтожения персональных данных

5.1. Обработка персональных данных прекращается в следующих случаях:

по достижении целей обработки персональных данных или при утрате необходимости в их достижении;

по истечении срока обработки персональных данных, установленного при сборе персональных данных;

по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

при невозможности устранения допущенных нарушений при обработке персональных данных;

при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

при отзыве субъектом персональных данных согласия, если в соответствии с Федеральным законом о персональных данных обработка персональных данных допускается только с его согласия.

Обработка персональных данных прекращается в сроки, установленные законодательством Российской Федерации.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. Персональные данные хранятся в электронном виде и на бумажных носителях. В электронном виде персональные данные хранятся в информационных системах персональных данных, а также в архивных копиях баз данных информационных систем персональных данных. В бумажном виде персональные данные хранятся в составе документов и их копий, содержащих информацию о субъектах персональных данных.

5.3. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.

5.4. Персональные данные субъектов персональных данных на бумажных носителях хранятся в течение сроков их хранения, установленных федеральным законодательством, иными нормативными правовыми актами Российской Федерации, а также Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 года № 236, с последующим формированием и передачей на постоянное хранение в Государственный архив Российской Федерации в случаях и порядке, предусмотренных законодательством Российской Федерации.

Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.5. Работник, ответственный за ведение делопроизводства в структурном подразделении ФПКК, осуществляющий обработку персональных данных, ежегодно проводит экспертизу ценности документов, в результате которой выделяет документы, содержащие персональные данные с истекшими сроками хранения, подлежащие уничтожению.

Результаты отбора документов к уничтожению оформляются актами о выделении к уничтожению документов с истекшими сроками хранения.

5.6. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

5.7. Работник, ответственный за ведение делопроизводства в структурном подразделении ФПКК, осуществляет контроль за процедурой уничтожения документов, содержащих персональные данные.

5.8. Уничтожение документов, содержащих персональные данные, производится термическим или механическим (шредирование) способом.

Уничтожение персональных данных на электронных носителях производится под контролем администратора вычислительной сети путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Сведения об уничтожении вносятся в акт о выделении к уничтожению документов, не подлежащих хранению.

VI. Обеспечение безопасности персональных данных

Меры по обеспечению безопасности:

6.1. Меры по обеспечению информационной безопасности персональных данных при их обработке распространяются как на персональные данные, зафиксированные на бумажных носителях, так и на персональные данные в электронном виде.

6.2. Организацию защиты персональных данных в подразделениях обеспечивают руководители структурных подразделений.

6.3. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается в установленном действующим законодательством Российской Федерации в сфере персональных данных порядке путем выполнения комплекса организационных и технических мер, обеспечивающих их безопасность.

К указанным мерам относятся:

определение угроз безопасности персональных данных при их обработке;

организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

учет всех информационных систем, машинных носителей, а также архивных копий персональных данных;

обнаружение фактов несанкционированного доступа к персональным данным;

восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

6.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается также путем принятия таких мер как:

обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные системы;

– применение средств защиты информации;

– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

– учет машинных носителей персональных данных;

– установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах.

6.5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

6.6. Доступ должностных лиц ФПКК и работников ФПКК к персональным данным, находящимся в информационных системах ФПКК, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

6.7. В случае выявления нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

Порядок доступа лиц в помещения, в которых ведется обработка персональных данных:

6.8. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается соблюдением правил доступа в помещения, где обрабатываются персональные данные в информационных системах персональных данных и без использования средств автоматизации.

6.9. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

6.10. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

6.11. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных.

VII. Рассмотрение запросов субъектов персональных данных или их представителей

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных;

правовые основания и цели обработки персональных данных;

применяемые способы обработки персональных данных;

сведения о лицах, имевших доступ к персональным данным;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации в области персональных данных;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

7.2. Информация, касающаяся обработки персональных данных, предоставляется в доступной форме, в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

7.3. Информация, касающаяся обработки персональных данных, предоставляется субъектам персональных данных, указанным в пунктах 2.1.1, 2.1.2, 2.1.3, 2.1.4 настоящего Положения, или их представителям по письменному запросу, который должен содержать следующие данные:

номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование выдавшего органа;

сведения, подтверждающие факт обработки персональных данных в ФПКК и Частном учреждении «Дом Профсоюзов», подпись заинтересованного субъекта персональных данных или его представителя.

К запросу, направленному представителем субъекта персональных данных, должен прилагаться документ (надлежащим образом заверенная копия), подтверждающий его полномочия.

7.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Письменный запрос подлежит регистрации в информационной системе по делопроизводству. При регистрации запроса о получении информации, касающейся обработки персональных данных, делается отметка, что соответствующий запрос направлен на получение такой информации.

7.5. В случае если информация, касающаяся обработки персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации в области персональных данных.

7.6. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения информации, касающейся обработки персональных данных, а также для ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

7.7. Субъекту персональных данных может быть отказано в выполнении повторного запроса, не соответствующего установленным требованиям. Такой отказ должен быть мотивированным.

7.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с пунктом 8 статьи 14 Федерального закона о персональных данных.

7.9. В случае отказа в предоставлении информации дается мотивированный ответ, содержащий ссылку на положение законодательства Российской Федерации, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения заинтересованного субъекта персональных данных или его представителя, либо с даты получения запроса.

VIII. Права и обязанности лиц, ответственных за организацию обработки персональных данных

8.1. Ответственный за организацию обработки персональных данных в ФПКК назначается председателем ФПКК из числа руководителей структурных подразделений ФПКК.

Ответственными за организацию обработки персональных данных в структурных подразделениях ФПКК являются руководители структурных подразделений ФПКК.

Ответственные за организацию обработки персональных данных в своей работе руководствуются законодательством Российской Федерации в области персональных данных и настоящим Положением.

8.2. Ответственные за организацию обработки персональных данных вправе:

8.2.1. Требовать от работников ФПКК, обрабатывающих персональные данные, знания и выполнения требований положений законодательства Российской Федерации о персональных данных и организационно-распорядительных документов ФПКК по вопросам обработки и защиты персональных данных.

8.2.2. Иметь доступ к информации, касающейся обработки персональных данных, включающей цели обработки персональных данных, перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, правовые основания обработки персональных данных, перечень действий с персональными данными, общее описание используемых способов обработки персональных данных, дату начала обработки персональных данных, срок или условия прекращения обработки персональных данных, сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных.

8.2.3. Требовать от работников ФПКК прекращения обработки персональных данных в случае нарушения требований по защите персональных данных.

8.2.4. Участвовать в анализе ситуаций, касающихся нарушений требований к защите персональных данных и фактов несанкционированного доступа к персональным данным.

8.3. Ответственные за организацию обработки персональных данных обязаны:

8.3.1. Осуществлять принятие организационных мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.3.2. Осуществлять текущий контроль за соблюдением работниками ФПКК требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных.

8.3.4. Доводить до сведения работников ФПКК положения законодательства Российской Федерации в области персональных данных, локальных нормативных актов по вопросам обработки персональных данных, требований к защите персональных данных.

8.3.5. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов.

8.4. В случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

8.5. Ответственный за организацию обработки персональных данных в ФПКК в дополнение к указанному в пункте 8.3 настоящего Положения обязан:

8.5.1. Организовывать принятие правовых и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.5.2. Организовывать и осуществлять внутренний контроль за соблюдением работниками ФПКК и Частного учреждения «Дом Профсоюзов» требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных, в соответствии с разделом 9 настоящего Положения.

8.5.3. Доводить до сведения ответственных за организацию обработки персональных данных в структурных подразделениях ФПКК положения законодательства Российской Федерации в области персональных данных, локальных нормативных актов по вопросам обработки персональных данных, требований к защите персональных данных.

8.6. Ответственные за организацию обработки персональных данных в соответствии с законодательством Российской Федерации в области персональных данных несут ответственность за надлежащее выполнение возложенных на них функций.

IX. Внутренний контроль над выполнением требований к обработке и защите персональных данных

9.1. Внутренний контроль соответствия обработки персональных данных в подразделениях ФПКК требованиям к защите персональных данных (далее – внутренний контроль) проводится в целях выявления и предотвращения нарушений законодательства Российской Федерации в области персональных данных.

9.2. Внутренний контроль подразделяется на плановый и внеплановый.

9.3. Плановый контроль условий обработки персональных данных проводится не реже 1 раза в год на основании плана, утвержденного распоряжением председателя ФПКК. Срок проведения планового внутреннего контроля составляет не более 10 рабочих дней.

В ежегодном плане проверок по каждой проверке устанавливаются: объект внутреннего контроля, проверяемый период, срок проведения проверки, члены комиссии.

9.4. Внеплановый контроль проводится по решению председателя ФПКК, в том числе принятому по представлению лица, ответственного за организацию обработки персональных данных в ФПКК, на основании поступившего письменного или устного обращения от субъекта персональных данных о нарушении законодательства в области персональных данных. Внеплановый внутренний контроль должен быть завершен не позднее 30 дней со дня принятия решения о его проведении. О результатах внепланового внутреннего контроля информируется заинтересованное лицо.

9.5. Внутренний контроль проводится комиссией. В состав комиссии включаются:

– лицо, ответственное за организацию обработки персональных данных в ФПКК;

– не менее двух работников ФПКК, определяемых, соответственно, ежегодным планом проверок при плановом контроле или решением председателя ФПКК о проведении внепланового контроля (в качестве членов комиссии).

9.6. Контроль осуществляется непосредственно на месте обработки персональных данных путем опроса либо при необходимости путем осмотра рабочих мест лиц, участвующих в процессе обработки персональных данных.

9.7. Результаты внутреннего контроля оформляются в виде справки, подписываемой членами комиссии, предусмотренной пунктом 9.5 настоящего Положения.

9.8. При выявлении в ходе внутреннего контроля нарушений в справке отражается перечень мероприятий по устранению нарушений и срок их исполнения.

9.9. В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля лицам, ответственным за проведение внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.

Оцените статью
( Пока оценок нет )
Федерация профсоюзов Красноярского края