1. Назначение и область применения
1.1. Положение об обработке персональных данных (далее также — Положение) в Фонде развития общественного взаимодействия и социальных коммуникаций «Социальная сфера» определяет порядок обработки персональных данных (далеетакже — ПДн), обеспечение защиты прав и свобод субъектов персональных данных при обработке персональных данных, а также процедуры, направленные на предотвращение нарушений требований законодательства Российской Федерации в области персональных данных.1.2. Положение определяет политику Фонда развития общественного взаимодействия и социальных коммуникаций «Социальная сфера» (далее — Фонд) в отношении обработки и защиты персональных данных.
1.3. Настоящее Положение вступает в силу с момента его утверждения Президентом Фонда.
1.4. Все приложения являются неотъемлемой частью настоящего Положения.
1.5. Все работники Фонда, допущенные к обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись.
1.6. Контроль за соблюдением настоящего Положения осуществляетПрезидент Фонда.
2. Основные понятия и определения
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информация — сведения (сообщения, данные) независимоот формы их представления.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель персональных данных (далее материальный носитель) — материальный объект, используемый для закрепления и храненияинформации. В целях настоящего Положения под материальным носителем понимается бумажный документ, диск, дискета,флэш- карта и т.п.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись,систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление,уничтожение персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использованиядополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке,действия (операции), совершаемые сперсональными данными.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Распространение персональных данных - действия,направленные на раскрытиеперсональных данных неопределенному кругу лиц.
Работник Фонда - физическое лицо, вступившее в трудовые отношения с Фондом «Социальная сфера».
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результатекоторых уничтожаются материальные носители персональных данных.
Цель обработки персональных данных —конкретный конечный результат действий,совершенных с персональными данными в процессеосуществления Фондом хозяйственной деятельности и в ходе осуществления трудовых отношений между Фондом и Работниками Фонда, и направленный, в том числе на:
- заключение, исполнение и прекращение гражданско-правовыхдоговоров с гражданами, юридическими лицами, ИП и другими лицами;
- организация кадрового учета Фонда, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
- ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучение и продвижении по службе, пользовании льготами;
- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физическихлиц и единого социального налога, пенсионного законодательства при формировании и передаче в СФР персонифицированных данных окаждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
- заполнение первичной статистической документации в соответствии сТрудовым, Налоговым кодексом и федеральными законами,
а также создание необходимых правовых условий для достижения оптимального согласования интересов сторон.
3. Законодательство Российской Федерации в области персональных данныхНастоящее Положение разработано в соответствиис законодательством Российской Федерации:
3.1. Конституцией Российской Федерации.
3.2. Федеральным законом от 27.12.1991 3в 2124-1 «О средствах массовой информации».
3.3. Федеральным закономот 27.07.2006 № 152-ФЗ «О персональных данных»(далее также — Закон о персональных данных).
3.4. Федеральным законом от 27.07.2006 № І49-ФЗ «Об информации, информационных технологиях и о защите информации».
3.5. Федеральным закономот 21.07.2014 N. 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточненияпорядка обработки персональных данных в информационно-телекоммуникационных сетях»
3.6. Трудовым кодексом Российской Федерации.
3.7. Указом Президента РФ от 06.03.1997 N. 188 «Об утверждении перечня сведений конфиденциального характера».
3.8. Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Полонения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3.9. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований в защите персональных данных при их обработке в информационных системах персональных данных».
3.10. Постановлением Правительства РФ от 09.10.2015 N 1085 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации».
3.11. Постановлением ПравительстваРоссийской Федерации от 17 июля 1995 г. N 713 "Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания ипо месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации".
1.1. Положение об обработке персональных данных (далее также — Положение) в Фонде развития общественного взаимодействия и социальных коммуникаций «Социальная сфера» определяет порядок обработки персональных данных (далеетакже — ПДн), обеспечение защиты прав и свобод субъектов персональных данных при обработке персональных данных, а также процедуры, направленные на предотвращение нарушений требований законодательства Российской Федерации в области персональных данных.1.2. Положение определяет политику Фонда развития общественного взаимодействия и социальных коммуникаций «Социальная сфера» (далее — Фонд) в отношении обработки и защиты персональных данных.
1.3. Настоящее Положение вступает в силу с момента его утверждения Президентом Фонда.
1.4. Все приложения являются неотъемлемой частью настоящего Положения.
1.5. Все работники Фонда, допущенные к обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись.
1.6. Контроль за соблюдением настоящего Положения осуществляетПрезидент Фонда.
2. Основные понятия и определения
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информация — сведения (сообщения, данные) независимоот формы их представления.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель персональных данных (далее материальный носитель) — материальный объект, используемый для закрепления и храненияинформации. В целях настоящего Положения под материальным носителем понимается бумажный документ, диск, дискета,флэш- карта и т.п.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись,систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление,уничтожение персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использованиядополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке,действия (операции), совершаемые сперсональными данными.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Распространение персональных данных - действия,направленные на раскрытиеперсональных данных неопределенному кругу лиц.
Работник Фонда - физическое лицо, вступившее в трудовые отношения с Фондом «Социальная сфера».
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результатекоторых уничтожаются материальные носители персональных данных.
Цель обработки персональных данных —конкретный конечный результат действий,совершенных с персональными данными в процессеосуществления Фондом хозяйственной деятельности и в ходе осуществления трудовых отношений между Фондом и Работниками Фонда, и направленный, в том числе на:
- заключение, исполнение и прекращение гражданско-правовыхдоговоров с гражданами, юридическими лицами, ИП и другими лицами;
- организация кадрового учета Фонда, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
- ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучение и продвижении по службе, пользовании льготами;
- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физическихлиц и единого социального налога, пенсионного законодательства при формировании и передаче в СФР персонифицированных данных окаждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
- заполнение первичной статистической документации в соответствии сТрудовым, Налоговым кодексом и федеральными законами,
а также создание необходимых правовых условий для достижения оптимального согласования интересов сторон.
3. Законодательство Российской Федерации в области персональных данныхНастоящее Положение разработано в соответствиис законодательством Российской Федерации:
3.1. Конституцией Российской Федерации.
3.2. Федеральным законом от 27.12.1991 3в 2124-1 «О средствах массовой информации».
3.3. Федеральным закономот 27.07.2006 № 152-ФЗ «О персональных данных»(далее также — Закон о персональных данных).
3.4. Федеральным законом от 27.07.2006 № І49-ФЗ «Об информации, информационных технологиях и о защите информации».
3.5. Федеральным закономот 21.07.2014 N. 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточненияпорядка обработки персональных данных в информационно-телекоммуникационных сетях»
3.6. Трудовым кодексом Российской Федерации.
3.7. Указом Президента РФ от 06.03.1997 N. 188 «Об утверждении перечня сведений конфиденциального характера».
3.8. Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Полонения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3.9. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований в защите персональных данных при их обработке в информационных системах персональных данных».
3.10. Постановлением Правительства РФ от 09.10.2015 N 1085 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации».
3.11. Постановлением ПравительстваРоссийской Федерации от 17 июля 1995 г. N 713 "Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания ипо месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации".
4. Субъекты, персональные данные которых обрабатываются в Фонде
— Субъектами персональных данных, сведения о которых обрабатываются в Фонде, являются:
— кандидаты для приема на работу;
— работники Фонда;
— близкие родственники работников Фонда;
— контрагенты (физические лица, представители юридических лиц, индивидуальные
предприниматели) и представители контрагентов;
4.1. Обработка персональных данных в Фонде осуществляется в следующих случаях:
4.1.1. Персональные данные кандидатов для приема на работу обрабатываются в целях подбора персонала на замещение вакантных должностей в Фонде, а также для подтверждения сведений, указанных в резюме, а именно: подтверждение личности кандидата, подтверждение получения образования (квалификации), наличие трудового опыта (стажа).
4.1.2. Персональные данные работников Фонда обрабатываются в целях заключения трудового договора, ведения кадрового делопроизводства, ведения воинского учета, обучения и повышения квалификации, наделения работника полномочиями на основании выданной Фондом доверенности, обеспечения работнику установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, условий безопасности и охраны труда. Персональные данные работников обрабатываются в целях формирования корпоративного справочника Фонда, электронной адресной книги Фонда. В случаях, установленных локальными актами Фонда, условиями трудового договора, условиями договоров, заключенных между Фондом и другими лицами, обработка персональных данных работника Фонда осуществляется в целях:
— оформления постоянного пропуска на территорию Фонда;
— оформления банковской карты для выплаты заработной платы.
4.1.3. Обработка персональных данных близких родственников работников Фонда осуществляется в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 ?Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты?, а также в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление социальных выплат).
4.1.4. Персональные данные работников Фонда могут обрабатываться в целях заключения и исполнения договоров оказания услуг.
4.1.5. Персональные данные контрагентов обрабатываются в целях подтверждения осуществления действий (полномочий) физического лица, представителя юридического лица, индивидуального предпринимателя для заключения договора, исполнения Фондом установленных законодательством Российской Федерации функций и полномочий по бухгалтерскому и налоговому учету.
4.1.6. Персональные данные контрагентов обрабатываются в случаях согласования проекта договора, а также в целях заключения и контроля исполнения сторонами условий договора.В случаях, установленных законодательством Российской Федерации, обработка персональных данных представителя контрагента осуществляется в целях нотариального удостоверения сделки, договора и /или регистрации договора в уполномоченных государственных органах.
4.2. Перечень обрабатываемых персональных данных указанных субъектов персональных данных, а также цели обработки персональных данных субъектов персональных данных утверждаются Президентом Фонда.
4.3. При определении содержания обрабатываемых персональных данных Фонда руководствуется целями получения и обработки персональных данных, указанными в настоящем Положении, Перечне обрабатываемых персональных данных Фонда.
5. Права и обязанности Фонда при обработке персональных данных
5.1. Фонд обязан:
5.1.1. Принимать меры, необходимые и достаточные для обеспечения выполнения
обязанностей, связанных с обработкой персональных данных, предусмотренных
законодательством Российской Федерации. К таким мерам, принимаемым Фондом, относятся:
— назначение в Фонде ответственного за организацию обработки персональных данных;
— издание документов, определяющих политику Фонда в отношении обработки
персональных данных, локальных актов по вопросам обработки персональных данных, а также
локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление
нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых Фондом мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательства Российской Федерации;
— ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Фонда в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
5.1.2. Разрабатывать, утверждать и обеспечивать неограниченный доступ к документу (опубликовать в информационно-телекоммуникационной сети), определяющему его политику в отношении обработки и защиты персональных данных.
5.1.3. Предоставлять документы и локальные акты, разработанные в соответствии с п.
5.1.1- 5.1.2, по запросу уполномоченного органа по защите прав субъектов персональных данных.
5.1.4. Осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных федеральными законами, а именно обрабатывать персональные данные в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных (форма согласия приведена в Приложении 1);
— обработка персональных данных необходима для достижения целей, предусмотренных федеральными конституционными законами, федеральными законами, для осуществления и выполнения возложенныхзаконодательством Российской Федерации на оператора функций, полномочий и обязанностей;
— обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться
выгодоприобретателем или поручителем,
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
— обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных),
— осуществляется обработка персональных данных, подлежащих опубликованию или
обязательному раскрытию в соответствии с федеральным законом.
5.1.5. Осуществлять обработку персональных данных при условии получения согласия
субъектов персональных данных в следующих случаях:
— передачи (в том числе, трансграничной) персональных данных субъектов
персональных данных третьим лицам;
— получения персональных данных работников Фонда у третьей стороны;
— использования биометрических персональных данных для установления личности
субъекта персональных данных;
— включения в общедоступные источники персональных данных (в том числе
справочнике, адресные книги) сведений о работнике Фонда: фамилии, имени, отчества, сведений
о профессии и иных персональных данных, представленных субъектом. Форма согласия на
внесение персональных данных в общедоступные источники персональных данных приведена в Приложении 1.
5.1.6. Сообщать субъекту персональных данных или его законному представителю по его запросу информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных (форма ответа приведена в Приложении 2).
5.1.7. В случае отказа в предоставлении субъекту персональных данных запрашиваемой информации о соответствующем субъекте ПДн, дать в письменной форме мотивированный ответ в течение 30 дней со дня обращения или получения запроса.
5.1.8. Внести необходимые изменения персональных данных в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для
заявленной цели обработки. О внесенных изменениях и предпринятых мерах Фонд обязан уведомить субъекта персональных данных или его представителя, и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (форма уведомления приведена в Приложение 3).
5.1.9. В случае достижения цели обработки персональных данных прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством или договором, а также если Фонд не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.
5.1.10. В случае отзыва согласия на обработку персональных данных прекратить обработку персональных данных (исключить персональные данные из общедоступных источников) и уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором или не достигнута цель обработки персональных данных связанная с исполнением требований законодательства РФ.
5.1.11. Сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса.
5.1.12. В случае если Фонд не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных прекратить обработку персональных данных и уничтожить персональные данные.
5.1.13. Фонд обязан назначить лицо, ответственное за организацию обработки персональных данных;
5.1.14. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно Президенту Фонда и подотчетно ему.
5.1.15. Фонд обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 Закона о персональных данных.
5.1.16. Обязанности лица, ответственного за организацию обработки персональных данных, устанавливаются трудовым договором, должностной инструкцией, положениями, регламентами, иными локальными актами Фонда, а также приказами Президента Фонда.
5.1.17. В обязанности лица, ответственного за организацию обработки персональных данных, в том числе, но, не ограничиваясь этим, входит:
— осуществление внутреннего контроля за соблюдением Фондом и его работниками законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
— доведение до сведения работников Фонда положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
— организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
5.2. Фонд имеет право:
5.2.1. Поручить обработку персональных данных другому лицу с согласия субъекта
персональных данных, если иное не предусмотрено федеральным законом, на основании
заключаемого с этим лицом договора (далее - поручение оператора). Лицо, осуществляющее
обработку персональных данных по поручению оператора, обязано соблюдать принципы и
правила обработки персональных данных, предусмотренные Федеральным законом ?О
персональных данных?. В поручении на обработку должны быть определены перечень действий
(операций) с персональными данными, которые будут совершаться лицом, осуществляющим
обработку персональных данных, и цели обработки, должна быть установлена обязанность такого
лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность
персональных данных при их обработке, а также должны быть указаны требования к защите
обрабатываемых персональных данных.
— Субъектами персональных данных, сведения о которых обрабатываются в Фонде, являются:
— кандидаты для приема на работу;
— работники Фонда;
— близкие родственники работников Фонда;
— контрагенты (физические лица, представители юридических лиц, индивидуальные
предприниматели) и представители контрагентов;
4.1. Обработка персональных данных в Фонде осуществляется в следующих случаях:
4.1.1. Персональные данные кандидатов для приема на работу обрабатываются в целях подбора персонала на замещение вакантных должностей в Фонде, а также для подтверждения сведений, указанных в резюме, а именно: подтверждение личности кандидата, подтверждение получения образования (квалификации), наличие трудового опыта (стажа).
4.1.2. Персональные данные работников Фонда обрабатываются в целях заключения трудового договора, ведения кадрового делопроизводства, ведения воинского учета, обучения и повышения квалификации, наделения работника полномочиями на основании выданной Фондом доверенности, обеспечения работнику установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, условий безопасности и охраны труда. Персональные данные работников обрабатываются в целях формирования корпоративного справочника Фонда, электронной адресной книги Фонда. В случаях, установленных локальными актами Фонда, условиями трудового договора, условиями договоров, заключенных между Фондом и другими лицами, обработка персональных данных работника Фонда осуществляется в целях:
— оформления постоянного пропуска на территорию Фонда;
— оформления банковской карты для выплаты заработной платы.
4.1.3. Обработка персональных данных близких родственников работников Фонда осуществляется в объеме, предусмотренном унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 ?Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты?, а также в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление социальных выплат).
4.1.4. Персональные данные работников Фонда могут обрабатываться в целях заключения и исполнения договоров оказания услуг.
4.1.5. Персональные данные контрагентов обрабатываются в целях подтверждения осуществления действий (полномочий) физического лица, представителя юридического лица, индивидуального предпринимателя для заключения договора, исполнения Фондом установленных законодательством Российской Федерации функций и полномочий по бухгалтерскому и налоговому учету.
4.1.6. Персональные данные контрагентов обрабатываются в случаях согласования проекта договора, а также в целях заключения и контроля исполнения сторонами условий договора.В случаях, установленных законодательством Российской Федерации, обработка персональных данных представителя контрагента осуществляется в целях нотариального удостоверения сделки, договора и /или регистрации договора в уполномоченных государственных органах.
4.2. Перечень обрабатываемых персональных данных указанных субъектов персональных данных, а также цели обработки персональных данных субъектов персональных данных утверждаются Президентом Фонда.
4.3. При определении содержания обрабатываемых персональных данных Фонда руководствуется целями получения и обработки персональных данных, указанными в настоящем Положении, Перечне обрабатываемых персональных данных Фонда.
5. Права и обязанности Фонда при обработке персональных данных
5.1. Фонд обязан:
5.1.1. Принимать меры, необходимые и достаточные для обеспечения выполнения
обязанностей, связанных с обработкой персональных данных, предусмотренных
законодательством Российской Федерации. К таким мерам, принимаемым Фондом, относятся:
— назначение в Фонде ответственного за организацию обработки персональных данных;
— издание документов, определяющих политику Фонда в отношении обработки
персональных данных, локальных актов по вопросам обработки персональных данных, а также
локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление
нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых Фондом мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательства Российской Федерации;
— ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Фонда в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
5.1.2. Разрабатывать, утверждать и обеспечивать неограниченный доступ к документу (опубликовать в информационно-телекоммуникационной сети), определяющему его политику в отношении обработки и защиты персональных данных.
5.1.3. Предоставлять документы и локальные акты, разработанные в соответствии с п.
5.1.1- 5.1.2, по запросу уполномоченного органа по защите прав субъектов персональных данных.
5.1.4. Осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных федеральными законами, а именно обрабатывать персональные данные в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных (форма согласия приведена в Приложении 1);
— обработка персональных данных необходима для достижения целей, предусмотренных федеральными конституционными законами, федеральными законами, для осуществления и выполнения возложенныхзаконодательством Российской Федерации на оператора функций, полномочий и обязанностей;
— обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться
выгодоприобретателем или поручителем,
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
— обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных),
— осуществляется обработка персональных данных, подлежащих опубликованию или
обязательному раскрытию в соответствии с федеральным законом.
5.1.5. Осуществлять обработку персональных данных при условии получения согласия
субъектов персональных данных в следующих случаях:
— передачи (в том числе, трансграничной) персональных данных субъектов
персональных данных третьим лицам;
— получения персональных данных работников Фонда у третьей стороны;
— использования биометрических персональных данных для установления личности
субъекта персональных данных;
— включения в общедоступные источники персональных данных (в том числе
справочнике, адресные книги) сведений о работнике Фонда: фамилии, имени, отчества, сведений
о профессии и иных персональных данных, представленных субъектом. Форма согласия на
внесение персональных данных в общедоступные источники персональных данных приведена в Приложении 1.
5.1.6. Сообщать субъекту персональных данных или его законному представителю по его запросу информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных (форма ответа приведена в Приложении 2).
5.1.7. В случае отказа в предоставлении субъекту персональных данных запрашиваемой информации о соответствующем субъекте ПДн, дать в письменной форме мотивированный ответ в течение 30 дней со дня обращения или получения запроса.
5.1.8. Внести необходимые изменения персональных данных в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для
заявленной цели обработки. О внесенных изменениях и предпринятых мерах Фонд обязан уведомить субъекта персональных данных или его представителя, и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (форма уведомления приведена в Приложение 3).
5.1.9. В случае достижения цели обработки персональных данных прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством или договором, а также если Фонд не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.
5.1.10. В случае отзыва согласия на обработку персональных данных прекратить обработку персональных данных (исключить персональные данные из общедоступных источников) и уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено договором или не достигнута цель обработки персональных данных связанная с исполнением требований законодательства РФ.
5.1.11. Сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса.
5.1.12. В случае если Фонд не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных прекратить обработку персональных данных и уничтожить персональные данные.
5.1.13. Фонд обязан назначить лицо, ответственное за организацию обработки персональных данных;
5.1.14. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно Президенту Фонда и подотчетно ему.
5.1.15. Фонд обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 Закона о персональных данных.
5.1.16. Обязанности лица, ответственного за организацию обработки персональных данных, устанавливаются трудовым договором, должностной инструкцией, положениями, регламентами, иными локальными актами Фонда, а также приказами Президента Фонда.
5.1.17. В обязанности лица, ответственного за организацию обработки персональных данных, в том числе, но, не ограничиваясь этим, входит:
— осуществление внутреннего контроля за соблюдением Фондом и его работниками законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
— доведение до сведения работников Фонда положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
— организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
5.2. Фонд имеет право:
5.2.1. Поручить обработку персональных данных другому лицу с согласия субъекта
персональных данных, если иное не предусмотрено федеральным законом, на основании
заключаемого с этим лицом договора (далее - поручение оператора). Лицо, осуществляющее
обработку персональных данных по поручению оператора, обязано соблюдать принципы и
правила обработки персональных данных, предусмотренные Федеральным законом ?О
персональных данных?. В поручении на обработку должны быть определены перечень действий
(операций) с персональными данными, которые будут совершаться лицом, осуществляющим
обработку персональных данных, и цели обработки, должна быть установлена обязанность такого
лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность
персональных данных при их обработке, а также должны быть указаны требования к защите
обрабатываемых персональных данных.
6. Права субъектов персональных данных
Субъекты персональных данных имеют право:
6.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора в соответствии со статьей 5 Закона о персональных данных), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких данных не
предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законодательством;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Законом о персональных данных.
Примечание: Форма направляемого в Фонд запроса об обрабатываемых персональных данных (запроса о наличии персональных данных, на ознакомление с персональными данными) представлена в Приложении 4. Запрос может быть составлен в простой письменной форме, с указанием фамилии, имени, отчества субъекта, номера основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и
выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Субъект вправе направить повторный запрос в целях получения информации
касающейся обработки его персональных данных не ранее чем через тридцать дней после первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6.2. Требовать уточнения персональных данных, их блокирования, в случае, если персональные данные являются неполными, устаревшими, неточными.
Примечание: Типовая форма запроса об исключении из обработки или исправлении неверных персональных данных представлена в Приложении 5.
6.3. Отозвать согласие на обработку ПДн (согласие на включение персональных данных в общедоступные источники).
Примечание: Форма отзыва согласия приведена в Приложение 6.
6.4. Обжаловать в суде любые неправомерные действия или бездействие Фонда при обработке и защите его персональных данных.
7. Порядок обработки персональных данных
7.1. В Фонде установлен следующий порядок обработки персональных данных кандидатов для приема на работу, работников и близких родственников работников:
7.1.1. Работники, отвечающие за кадровое производство в Фонде, могут получать персональные данные кандидатов для приема на работу из следующих источников:
— от агентств по подбору персонала, предоставляющих Фонду персональные данные
кандидатов в соответствии с заключенными с Фондом договорами;
— из общедоступных источников персональных данных (интернет-сайты, социальные сети);
— непосредственно от кандидатов, самостоятельно направляющих резюме на адрес электронной почты Фонда;
— лично от кандидатов, представивших анкету, заполненную непосредственно в Фонд.
7.1.2. Обработка персональных данных кандидатов для приема на работу осуществляется до достижения цели обработки — принятия решения о приеме, либо об отказе в приеме кандидата на работу в Фонд. По достижении цели обработки, работниками, отвечающими за кадровое делопроизводство, производится уничтожение ПДн кандидатов.
7.2. Обработка персональных данных работников в связи с заключением трудового договора включает в себя:
— получение заявления о приеме на работу, предоставляемое в подразделение,
отвечающее за кадровое делопроизводство Фонда;
— получение оригиналов документов трудовой книжки, документов воинского учета;
— копирование оригиналов документов (паспорта или иного документа, удостоверяющего личность;
— свидетельства о постановке на учет в налоговом органе (при наличии);
— страхового свидетельства обязательного пенсионного страхования (при наличии),
— водительского удостоверения;
— получение согласия на обработку персональных данных.
7.2.1. Персональные данные близких родственников указываются работником Фонда в
унифицированной форме N Т-2, а также в случаях, установленных законодательством Российской
Федерации (получение алиментов, оформление социальных выплат).
7.2.2. В отдельных случаях Трудовым кодексом, иными федеральными законами,
указами Президента Российской Федерации и постановлениями Правительства Российской
Федерации может предусматриваться необходимость предъявления при заключении трудового
договора дополнительных документов.
7.2.3. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
7.2.4. Личные дела работников Движения хранятся в металлических запираемых шкафах в помещении подразделения отвечающего за кадровое производство в Фонде. Хранение трудовых книжек осуществляется в сейфе работника, отвечающего за кадровое делопроизводство в Фонде.
7.2.5. Персональные данные, внесенные в личные дела работников, иные сведения, содержащиеся в личных делах работников, относятся к сведениям конфиденциального характера.
7.2.6. Личное дело после увольнения работника хранится в течение срока, установленного законодательством РФ.
7.3. Основаниями для обработки персональных данных контрагентов являются договоры между контрагентом и Фондом. Порядок сбора и обработки персональных данных контрагентов осуществляется в соответствии с Регламентом подготовки, согласования, оформления, регистрации и хранения договоров (соглашений) в Движении.
8. Доступ к обработке персональных данных
8.1. Доступ к обработке персональных данных ограничивается в соответствии с федеральными законами и настоящим Положением.
8.2. Фонд не вправе разглашать полученные им в результате своей деятельности персональные данные без согласия субъектов персональных данных.
8.3. Доступ к обработке персональных данных с использованием и/или без использования средств автоматизации, разрешен только уполномоченным работникам структурных подразделений в соответствии с Перечнем подразделений, в которых осуществляется обработка персональных данных, утверждаемым приказом Президента Фонда. Доступ к обработке персональных данных для выполнения служебных обязанностей предоставляется на основании заявки руководителя структурного подразделения при организации рабочего места работнику
Фонда.
8.4. Все изменения Перечня подразделений, в которых осуществляется обработка персональных данных, утверждается приказом Президента Фонда. Информация для изменения Перечня предоставляется руководителями подразделений, которым необходим доступ к персональным данным для выполнения должностных обязанностей.
8.5. Все работники Фонда, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных,
которые определены:
- Трудовым договором;
- должностными инструкциями в части обеспечения безопасности персональных данных.
8.6. Доступ к местам хранения носителей персональных данных определяется в соответствии с Перечнем мест хранения материальных носителей персональных данных, утверждаемых Президентом Фонда.
8.7. Предоставление доступа к персональным данным органам государственным власти.
8.7.1. Органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей персональные данные в соответствии с действующим законодательством Российской Федерации, персональные данные передаются в пределах, необходимых для выполнения ими своих функций.
8.7.2. Доступ к персональным данным, обрабатываемым в Фонде, на основании и во исполнение нормативных правовых актов, предоставляется:
— Федеральной инспекции труда и федеральным органам исполнительной власти,
осуществляющим функции по контролю и надзору в установленной сфере деятельности;
— Федеральной налоговой службе и межрегиональным инспекциям, и управлениям Федеральной налоговой службы по субъектам РФ;
— Федеральной службе государственной статистики и её территориальным органам;
— Федеральному фонду обязательного медицинского страхования и его территориальным органам;
— Министерству внутренних дел;
— военным комиссариатам;
— Фонду социального страхования РФ;
— Социальному фонду РФ;
— судам;
— органам прокуратуры и иным правоохранительным органам.
8.7.3. Фонд предоставляет сведения, содержащие персональные данные работников, в Социальный фонд РФ, Федеральную налоговую службу, Министерству внутренних дел по телекоммуникационным каналам связи и, в соответствии с требованиями законодательства, использует криптографические средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения
персональных данных.
8.7.4. Обязательный доступ к персональным данным предоставляется в следующих случаях, предусмотренных федеральными законами:
— в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;
— в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;
— в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона от 12.08.1995 № 144-ФЗ ?Об оперативно-розыскной деятельности?.
8.8. Предоставление доступа к персональным данным иным лицам.
8.8.1. Внешние организации для получения доступа к персональным данным работников Движения обязаны предоставить Фонду в письменной форме запрос (Приложение 7), подписанный руководителем организации и заверенный печатью и/или личной подписью.
8.8.2. Фонд предоставляет персональные данные иным лицам только после получения письменного согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
8.8.3. В случаях, если при заключении договоров с юридическими и физическими лицами на основании заключенных договоров (либо иных оснований), они должны иметь доступ к ПДн, между Фондом и контрагентом подписывается Соглашение о конфиденциальности.
8.8.4. Обращения (запросы) на предоставление доступа к обрабатываемым персональным данным, с отметкой о предоставлении информации по запросу или отказе в предоставлении информации по запросу фиксируется в соответствующем Журнале учета обращений субъектов персональных данных (Приложение 8).
Субъекты персональных данных имеют право:
6.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые оператором способы обработки персональных данных;
— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора в соответствии со статьей 5 Закона о персональных данных), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких данных не
предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законодательством;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Законом о персональных данных.
Примечание: Форма направляемого в Фонд запроса об обрабатываемых персональных данных (запроса о наличии персональных данных, на ознакомление с персональными данными) представлена в Приложении 4. Запрос может быть составлен в простой письменной форме, с указанием фамилии, имени, отчества субъекта, номера основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и
выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Субъект вправе направить повторный запрос в целях получения информации
касающейся обработки его персональных данных не ранее чем через тридцать дней после первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6.2. Требовать уточнения персональных данных, их блокирования, в случае, если персональные данные являются неполными, устаревшими, неточными.
Примечание: Типовая форма запроса об исключении из обработки или исправлении неверных персональных данных представлена в Приложении 5.
6.3. Отозвать согласие на обработку ПДн (согласие на включение персональных данных в общедоступные источники).
Примечание: Форма отзыва согласия приведена в Приложение 6.
6.4. Обжаловать в суде любые неправомерные действия или бездействие Фонда при обработке и защите его персональных данных.
7. Порядок обработки персональных данных
7.1. В Фонде установлен следующий порядок обработки персональных данных кандидатов для приема на работу, работников и близких родственников работников:
7.1.1. Работники, отвечающие за кадровое производство в Фонде, могут получать персональные данные кандидатов для приема на работу из следующих источников:
— от агентств по подбору персонала, предоставляющих Фонду персональные данные
кандидатов в соответствии с заключенными с Фондом договорами;
— из общедоступных источников персональных данных (интернет-сайты, социальные сети);
— непосредственно от кандидатов, самостоятельно направляющих резюме на адрес электронной почты Фонда;
— лично от кандидатов, представивших анкету, заполненную непосредственно в Фонд.
7.1.2. Обработка персональных данных кандидатов для приема на работу осуществляется до достижения цели обработки — принятия решения о приеме, либо об отказе в приеме кандидата на работу в Фонд. По достижении цели обработки, работниками, отвечающими за кадровое делопроизводство, производится уничтожение ПДн кандидатов.
7.2. Обработка персональных данных работников в связи с заключением трудового договора включает в себя:
— получение заявления о приеме на работу, предоставляемое в подразделение,
отвечающее за кадровое делопроизводство Фонда;
— получение оригиналов документов трудовой книжки, документов воинского учета;
— копирование оригиналов документов (паспорта или иного документа, удостоверяющего личность;
— свидетельства о постановке на учет в налоговом органе (при наличии);
— страхового свидетельства обязательного пенсионного страхования (при наличии),
— водительского удостоверения;
— получение согласия на обработку персональных данных.
7.2.1. Персональные данные близких родственников указываются работником Фонда в
унифицированной форме N Т-2, а также в случаях, установленных законодательством Российской
Федерации (получение алиментов, оформление социальных выплат).
7.2.2. В отдельных случаях Трудовым кодексом, иными федеральными законами,
указами Президента Российской Федерации и постановлениями Правительства Российской
Федерации может предусматриваться необходимость предъявления при заключении трудового
договора дополнительных документов.
7.2.3. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
7.2.4. Личные дела работников Движения хранятся в металлических запираемых шкафах в помещении подразделения отвечающего за кадровое производство в Фонде. Хранение трудовых книжек осуществляется в сейфе работника, отвечающего за кадровое делопроизводство в Фонде.
7.2.5. Персональные данные, внесенные в личные дела работников, иные сведения, содержащиеся в личных делах работников, относятся к сведениям конфиденциального характера.
7.2.6. Личное дело после увольнения работника хранится в течение срока, установленного законодательством РФ.
7.3. Основаниями для обработки персональных данных контрагентов являются договоры между контрагентом и Фондом. Порядок сбора и обработки персональных данных контрагентов осуществляется в соответствии с Регламентом подготовки, согласования, оформления, регистрации и хранения договоров (соглашений) в Движении.
8. Доступ к обработке персональных данных
8.1. Доступ к обработке персональных данных ограничивается в соответствии с федеральными законами и настоящим Положением.
8.2. Фонд не вправе разглашать полученные им в результате своей деятельности персональные данные без согласия субъектов персональных данных.
8.3. Доступ к обработке персональных данных с использованием и/или без использования средств автоматизации, разрешен только уполномоченным работникам структурных подразделений в соответствии с Перечнем подразделений, в которых осуществляется обработка персональных данных, утверждаемым приказом Президента Фонда. Доступ к обработке персональных данных для выполнения служебных обязанностей предоставляется на основании заявки руководителя структурного подразделения при организации рабочего места работнику
Фонда.
8.4. Все изменения Перечня подразделений, в которых осуществляется обработка персональных данных, утверждается приказом Президента Фонда. Информация для изменения Перечня предоставляется руководителями подразделений, которым необходим доступ к персональным данным для выполнения должностных обязанностей.
8.5. Все работники Фонда, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных,
которые определены:
- Трудовым договором;
- должностными инструкциями в части обеспечения безопасности персональных данных.
8.6. Доступ к местам хранения носителей персональных данных определяется в соответствии с Перечнем мест хранения материальных носителей персональных данных, утверждаемых Президентом Фонда.
8.7. Предоставление доступа к персональным данным органам государственным власти.
8.7.1. Органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей персональные данные в соответствии с действующим законодательством Российской Федерации, персональные данные передаются в пределах, необходимых для выполнения ими своих функций.
8.7.2. Доступ к персональным данным, обрабатываемым в Фонде, на основании и во исполнение нормативных правовых актов, предоставляется:
— Федеральной инспекции труда и федеральным органам исполнительной власти,
осуществляющим функции по контролю и надзору в установленной сфере деятельности;
— Федеральной налоговой службе и межрегиональным инспекциям, и управлениям Федеральной налоговой службы по субъектам РФ;
— Федеральной службе государственной статистики и её территориальным органам;
— Федеральному фонду обязательного медицинского страхования и его территориальным органам;
— Министерству внутренних дел;
— военным комиссариатам;
— Фонду социального страхования РФ;
— Социальному фонду РФ;
— судам;
— органам прокуратуры и иным правоохранительным органам.
8.7.3. Фонд предоставляет сведения, содержащие персональные данные работников, в Социальный фонд РФ, Федеральную налоговую службу, Министерству внутренних дел по телекоммуникационным каналам связи и, в соответствии с требованиями законодательства, использует криптографические средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения
персональных данных.
8.7.4. Обязательный доступ к персональным данным предоставляется в следующих случаях, предусмотренных федеральными законами:
— в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;
— в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;
— в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона от 12.08.1995 № 144-ФЗ ?Об оперативно-розыскной деятельности?.
8.8. Предоставление доступа к персональным данным иным лицам.
8.8.1. Внешние организации для получения доступа к персональным данным работников Движения обязаны предоставить Фонду в письменной форме запрос (Приложение 7), подписанный руководителем организации и заверенный печатью и/или личной подписью.
8.8.2. Фонд предоставляет персональные данные иным лицам только после получения письменного согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
8.8.3. В случаях, если при заключении договоров с юридическими и физическими лицами на основании заключенных договоров (либо иных оснований), они должны иметь доступ к ПДн, между Фондом и контрагентом подписывается Соглашение о конфиденциальности.
8.8.4. Обращения (запросы) на предоставление доступа к обрабатываемым персональным данным, с отметкой о предоставлении информации по запросу или отказе в предоставлении информации по запросу фиксируется в соответствующем Журнале учета обращений субъектов персональных данных (Приложение 8).
9. Порядок хранения и уничтожения персональных данных
9.1. При автоматизированной обработке не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
9.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельные носители персональных данных.
9.3. При разработке типовых форм документов для фиксации персональных данных необходимо соблюдать следующие требования:
9.3.1. Типовая форма для связанные с ней документы, содержащие персональные данные субъекта, должны содержать сведения о цели обработки персональных данных, адрес Фонда, источник получения персональных данных, сроки обработки персональных данных, перечень действий и способов обработки персональных данных.
9.3.2. Типовая форма должна содержать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных при условии необходимости получения письменного согласия на обработку персональных данных в соответствии с п.5.1.5. настоящего Положения.
9.3.3. В типовой форме должно быть исключено объединение полей, предназначенных для внесения персональных данных, если цели их обработки несовместимы.
9.3.4. В типовой форме не должны содержаться, поля для фиксации персональных данных, не предназначенных для заявленных целей обработки персональных данных.
9.4. Уточнение (изменение, обновление) персональных данных осуществляется путем фиксации таких персональных данных на новый носитель.
9.5. Фонд устанавливает следующий режим хранения носителей персональных данных;
9.5.1. Структурные подразделения Фонда обеспечивают раздельное хранение носителей персональных данных, обработка которых осуществляется в различных целях в соответствии с Перечнем мест хранения материальных носителей персональных данных Движения. Перечень утверждается приказом Президента Фонда.
9.5.2. На все указанные места хранения распространяются следующие правила:
— носители персональных данных хранятся в запираемых шкафах или в сейфах.
— ключи от запираемых шкафов хранятся у уполномоченного лица структурного
подразделения.
9.6. Фонд обеспечивает сохранность персональных данных путем установления мер, исключающих несанкционированный доступ к персональным данным. К таким мерам относятся:
— ограничение круга лиц, имеющих право доступа к местам хранения носителей персональных данных, резервным копиям баз данных информационных систем персональных данных Фонда (далее — ИСПДн);
— регистрация съемных носителей персональных данных, учет их выдачи в соответствующем Журнале yчётa регистрации, контроль уничтожения персональных данных — дискет, компакт- дисков, flаsh-накопителей (Приложение 9).
9.7. Фонд обеспечивает хранение носителей персональных данных в течение сроков, установленных Приказом Минкультуры РФ от 25.08.2010 № 558 "Об утверждение" Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" и иными требованиями законодательства Российской Федерации.
9.8. Сроки хранения персональных данных, обрабатываемых в ИСПДн Фонда, соответствуют срокам хранения носителей персональных данных.
9.9. Персональные данные, обрабатываемые в ИСПДн, а также носители персональных данных должны быть уничтожены по достижении целей их обработки или в случае утраты необходимости в достижении цепи обработки, в случае получения отзыва согласия субъекта на обработку персональных данных, если Фонд не вправе продолжить обработку соответствующих персональных данных без согласия субъекта.
9.10. Уничтожение либо обезличивание персональных данных должно производиться в соответствии с Регламентом уничтожения персональных данных Движения.
10. Взаимодействие с регулирующими органами
10.1. При получении правомерного запроса уполномоченного органа по защите прав субъектов персональных данных Фонд обязан представить мотивированный ответ в течение 30 (тридцати) дней с даты получения запроса.
10.2. В случае проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, сведения о результатах проверки вносятся в журнал учета проверок (Приложение 10).
11. Ответственность
11.1.1. Лица, виновные в нарушении требований Закона о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
11.1.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от
возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
11.1.3. За нарушение требований, относящихся к обработке персональных данных, установленных трудовым договором, должностной инструкцией, положениями, регламентами, иными локальными актами Движения, а также приказами Президента Фонда. Работники Фонда несут ответственность, установленную локальными актами Фонда.
12. Порядок внесения изменений
12.1. Настоящее Положение пересматривается в случае изменения законодательства Российской Федерации в области обработки персональных данных.
12.2. Все изменения отражаются в Листе изменений.
12.3. Измененное Положение утверждается в установленном порядке.
9.1. При автоматизированной обработке не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
9.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельные носители персональных данных.
9.3. При разработке типовых форм документов для фиксации персональных данных необходимо соблюдать следующие требования:
9.3.1. Типовая форма для связанные с ней документы, содержащие персональные данные субъекта, должны содержать сведения о цели обработки персональных данных, адрес Фонда, источник получения персональных данных, сроки обработки персональных данных, перечень действий и способов обработки персональных данных.
9.3.2. Типовая форма должна содержать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных при условии необходимости получения письменного согласия на обработку персональных данных в соответствии с п.5.1.5. настоящего Положения.
9.3.3. В типовой форме должно быть исключено объединение полей, предназначенных для внесения персональных данных, если цели их обработки несовместимы.
9.3.4. В типовой форме не должны содержаться, поля для фиксации персональных данных, не предназначенных для заявленных целей обработки персональных данных.
9.4. Уточнение (изменение, обновление) персональных данных осуществляется путем фиксации таких персональных данных на новый носитель.
9.5. Фонд устанавливает следующий режим хранения носителей персональных данных;
9.5.1. Структурные подразделения Фонда обеспечивают раздельное хранение носителей персональных данных, обработка которых осуществляется в различных целях в соответствии с Перечнем мест хранения материальных носителей персональных данных Движения. Перечень утверждается приказом Президента Фонда.
9.5.2. На все указанные места хранения распространяются следующие правила:
— носители персональных данных хранятся в запираемых шкафах или в сейфах.
— ключи от запираемых шкафов хранятся у уполномоченного лица структурного
подразделения.
9.6. Фонд обеспечивает сохранность персональных данных путем установления мер, исключающих несанкционированный доступ к персональным данным. К таким мерам относятся:
— ограничение круга лиц, имеющих право доступа к местам хранения носителей персональных данных, резервным копиям баз данных информационных систем персональных данных Фонда (далее — ИСПДн);
— регистрация съемных носителей персональных данных, учет их выдачи в соответствующем Журнале yчётa регистрации, контроль уничтожения персональных данных — дискет, компакт- дисков, flаsh-накопителей (Приложение 9).
9.7. Фонд обеспечивает хранение носителей персональных данных в течение сроков, установленных Приказом Минкультуры РФ от 25.08.2010 № 558 "Об утверждение" Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" и иными требованиями законодательства Российской Федерации.
9.8. Сроки хранения персональных данных, обрабатываемых в ИСПДн Фонда, соответствуют срокам хранения носителей персональных данных.
9.9. Персональные данные, обрабатываемые в ИСПДн, а также носители персональных данных должны быть уничтожены по достижении целей их обработки или в случае утраты необходимости в достижении цепи обработки, в случае получения отзыва согласия субъекта на обработку персональных данных, если Фонд не вправе продолжить обработку соответствующих персональных данных без согласия субъекта.
9.10. Уничтожение либо обезличивание персональных данных должно производиться в соответствии с Регламентом уничтожения персональных данных Движения.
10. Взаимодействие с регулирующими органами
10.1. При получении правомерного запроса уполномоченного органа по защите прав субъектов персональных данных Фонд обязан представить мотивированный ответ в течение 30 (тридцати) дней с даты получения запроса.
10.2. В случае проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, сведения о результатах проверки вносятся в журнал учета проверок (Приложение 10).
11. Ответственность
11.1.1. Лица, виновные в нарушении требований Закона о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
11.1.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от
возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
11.1.3. За нарушение требований, относящихся к обработке персональных данных, установленных трудовым договором, должностной инструкцией, положениями, регламентами, иными локальными актами Движения, а также приказами Президента Фонда. Работники Фонда несут ответственность, установленную локальными актами Фонда.
12. Порядок внесения изменений
12.1. Настоящее Положение пересматривается в случае изменения законодательства Российской Федерации в области обработки персональных данных.
12.2. Все изменения отражаются в Листе изменений.
12.3. Измененное Положение утверждается в установленном порядке.