1.2. Установления ответственности работников Оператора, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований норм, регулирующих обработку персональных данных, установленных законодательством Российской Федерации, настоящими правилами и иными внутренними документами Оператора.
1.3. Общество является оператором персональных данных, организующим и (или) осуществляющим обработку персональных данных, формируемых при осуществлении полномочий Общества, а также определяющим цели и содержание обработки таких персональных данных, действия (операции), совершаемые с ними.
1.4. Требования настоящих Правил обязательны для выполнения всеми работниками Общества.
2.1. В настоящих Правилах используются следующие понятия и термины:
2.1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.1.2. Допуск к обработке персональных данных – процедура оформления права на доступ к персональным данным;
2.1.3. Доступ – действия, направленные на предоставление доступа к персональным данным.
2.1.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.1.6. Уполномоченный орган по защите прав субъектов персональных данных – федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);
2.1.7. Контролируемая зона – пространство (административные здания Общества, прилегающая к ним территория), на котором на законных основаниях осуществляется контроль за пребыванием и действиями физических лиц и (или) транспортных средств;
2.1.8. Материальный носитель – бумажный или машинный носитель, предназначенный для фиксирования, передачи и хранения персональных данных;
2.1.9. Машинный носитель – материальный носитель информации, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами (внутренние жесткие диски, флэш-накопители, внешние жесткие диски, CD-диски и иные устройства);
2.1.10. Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям;
2.1.11. ПЭВМ – персональная электронная вычислительная машина;
2.1.12. СНИ – съёмные машинные носители информации, используемые для хранения информации вне ПЭВМ (флэш-накопители, внешние жесткие диски, CD-диски и иные устройства).
2.1.13. Иные понятия, применяемые в настоящих Правилах, используются в значениях, определенных законодательством Российской Федерации в области обработки и защиты персональных данных.
3.1. Оператор может обрабатывать общие персональные данные следующих категорий субъектов персональных данных.
3.2. Оператор не осуществляет намеренно обработку персональных данных несовершеннолетних лиц. Все лица, младше 18 лет, обязаны получить разрешение своих законных представителей прежде, чем предоставлять какую-либо персональную информацию о себе.
3.3. Если Оператору станет известно о том, что он получил персональную информацию о несовершеннолетнем лице без согласия законных представителей, то такая информация будет удалена в возможно короткие сроки.
4.1. Обработка персональных данных может осуществляться Оператором в случаях, установленных законодательством Российской Федерации в области обработки персональных данных, в том числе в случаях, когда:
4.1.1. Обработка персональных данных осуществляется с согласия субъекта на обработку его персональных данных в случаях, установленных законодательством Российской Федерации.
4.1.2. Обработка персональных данных необходима для осуществления и выполнения Оператором возложенных на него законодательством Российской Федерации функций, полномочий и обязанностей.
4.1.3. Обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных.
4.1.4. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4.1.5. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
4.1.6. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
4.2. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных субъектов персональных данных Оператор обязан соблюдать следующие общие требования:
4.2.1. При определении объёма и содержания обрабатываемых персональных данных субъекта Оператор должен руководствоваться соответствующим законодательством Российской Федерации.
4.2.2. Все персональные данные субъекта персональных данных следует получать непосредственно у субъекта персональных данных, за исключением случаев, когда право Оператора на получение персональных данных иным способом установлено законодательством Российской Федерации в области обработки и защиты персональных данных и правовыми актами, принимаемыми в соответствии с данным законодательством или по поручению оператора персональных данных.
4.2.3. Если предоставление персональных данных является обязательным в соответствии с Федеральным законом «О персональных данных», но субъект персональных данных отказывается их предоставить, необходимо разъяснить субъекту персональных данных юридические последствия такого отказа. Примерная форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные приведена в приложении № 5 к приказу.
4.2.4. Если персональные данные получены не от субъекта персональных данных, то до начала обработки таких персональных данных необходимо предоставить субъекту персональных данных информацию, определенную ч. 3 ст. 18 Федерального закона «О персональных данных», за исключением случаев, предусмотренных ч. 4 ст. 18 требований Федерального закона «О персональных данных».
4.2.5. В случае передачи персональных данных субъекта персональных данных третьей стороне обязательным требованием является наличие письменного согласия субъекта, за исключением случаев, установленных законодательством Российской Федерации.
4.2.6. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях, за исключением случаев, предусмотренных законодательством Российской Федерации.
4.2.7. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда субъекту персональных данных, ограничения реализации его прав и свобод.
4.3. При организации обработки персональных данных Оператором осуществляется обработка персональных данных субъектов персональных данных путём: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных.
4.4. Все работники Оператора должны быть ознакомлены с положениями внутренних нормативных документов по вопросам обработки и обеспечения безопасности персональных данных.
4.5. Обработка персональных данных, не отвечающая целям обработки, запрещается.
4.6. При приёме на работу уполномоченный работник получает у субъекта персональных данных согласие на обработку его персональных данных согласно приложению № 6 к приказу.
4.7. Согласие на обработку персональных данных уполномоченный работник получает у субъекта персональных данных до начала их обработки.
4.8. Получение согласия близких родственников работника на обработку их персональных данных не требуется при заполнении анкет в объёме, предусмотренном формой № 10 по воинскому учету.
4.9. Субъект персональных данных вправе отозвать согласие на обработку персональных данных, направив Оператору отзыв, составленный в произвольной форме.
4.10. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.
4.11. Оператор вправе поручить обработку персональных данных субъектов персональных данных с их согласия другому лицу на основании заключаемого с ним договора.
4.12. Договор должен содержать перечень действий (операций) с персональными данными, цели обработки, обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации, а также с настоящими Правилами.
4.13. Обработка персональных данных кандидатов для приёма на работу осуществляется в соответствии с требованиями настоящих Правил.
4.15. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются Федеральным законом «Об архивном деле в Российской Федерации».
5.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
5.3. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя – путём изготовления нового материального носителя с уточнёнными персональными данными.
5.4. При работе с документами, содержащими персональные данные, должны быть приняты меры, исключающие возможность ознакомления с этими документами посторонних лиц, в том числе работников, не уполномоченных на обработку персональных данных.
5.5. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
6.1. Генеральный директор Общества назначает приказом ответственного за организацию обработки персональных данных, а также утверждает перечень должностей, замещение которых предусматривает обработку персональных данных. Уполномоченные работники имеют право обрабатывать только те персональные данные, которые необходимы для выполнения конкретных функций.
6.2. Основанием для допуска работника к обработке персональных данных является обязательство о неразглашении персональных данных по форме согласно приложению № 7 к приказу, назначение работника на должность, замещение которой предусматривает осуществление обработки персональных данных.
6.3. Условием предоставления доступа к обработке персональных данных ответственного за организацию обработки персональных данных и уполномоченных работников является подписание ими обязательства о неразглашении персональных данных и ознакомление под подпись с настоящими Правилами.
6.4. Представители сторонних организаций могут допускаться к обработке персональных данных на основании заключаемых договоров в соответствии с требованиями, изложенными в настоящих Правилах.
6.5. В случае расторжения трудового договора с работником, осуществляющим обработку персональных данных, последним должно быть подписано обязательство о прекращении обработки персональных данных согласно приложению № 8 к приказу.
7.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.2. Сроки хранения персональных данных Оператором определяются исходя из целей обработки персональных данных и в соответствии с требованиями федеральных законов Российской Федерации.
7.3. Срок хранения персональных данных в электронном виде не должен превышать срок хранения этих же данных на бумажных носителях.
7.4. При хранении персональных данных на машинных носителях Оператором обеспечивается регулярное резервное копирование информации с целью недопущения потери персональных данных при выходе из строя машинных носителей персональных данных.
7.5. Хранение материальных носителей должно осуществляться в помещениях, находящихся в контролируемой зоне.
7.6. Хранение материальных носителей персональных данных допускается только в тех помещениях и хранилищах (шкафах, сейфах), которые указаны в приложении № 1 к приказу. В случае необходимости организации нового хранилища соответствующие изменения вносятся в приказ.
7.7. Персональные данные субъектов персональных данных хранятся на бумажных носителях и в электронном виде с соблюдением условий, обеспечивающих их защиту от несанкционированного доступа.
7.8. Черновики и рабочие варианты документов, содержащих персональные данные, уничтожаются исполнителем без возможности восстановления.
7.9. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
7.10. Копирование и печатание документов, содержащих персональные данные, должно осуществляться в порядке, исключающем возможность нарушения конфиденциальности персональных данных.
7.14. Документы, содержащие персональные данные, должны храниться в специальном шкафу или помещении, обеспечивающем защиту от несанкционированного доступа.
7.15. Дела, содержащие персональные данные, должны находиться в рабочих кабинетах или в специально отведенных для их хранения помещениях, располагаться в запираемых шкафах, обеспечивающих их полную сохранность.
7.16. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.
8.1. Оператором осуществляется систематический мониторинг персональных данных, цели обработки которых достигнуты или сроки хранения которых истекли, с последующим уничтожением документов, иных материальных носителей, содержащих персональные данные, а также удалением персональных данных, содержащихся в информационных системах, файлах, хранящихся на ПЭВМ или на внешних перезаписываемых СНИ, в соответствии с законодательством Российской Федерации или при наступлении иных законных оснований.
8.3. Сроки уничтожения персональных данных в случаях, приведенных в п. 8.2 настоящих Правил, определяются ст. 21 Федерального закона № 152-ФЗ «О персональных данных».
8.4. В процессе уничтожения дел и документов необходимо исключить возможность ознакомления посторонних лиц с содержащимися в них персональными данными.
8.5. Уничтожение персональных данных, хранящихся на ПЭВМ и (или) на перезаписываемых СНИ, производится с использованием штатных средств информационных и операционных систем.
8.6. Уничтожение персональных данных на бумажных и электронных носителях производится путём, не позволяющим произвести считывание или восстановление содержания персональных данных.
8.7. При утрате или несанкционированном уничтожении СНИ проводится служебное расследование и составляется акт.
8.8. Уничтожение персональных данных осуществляется комиссией, назначаемой приказом генерального директора Общества. По результатам уничтожения составляется акт уничтожения персональных данных.
9.1. Передача персональных данных субъектов персональных данных без их согласия допускается, если это необходимо для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве, по мотивированным запросам правоохранительных органов и иных органов государственной власти в рамках установленных полномочий, а также в иных случаях, предусмотренных федеральными законами.
9.2. Передача персональных данных субъектов персональных данных третьим лицам осуществляется с их письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных Федеральным законом «О персональных данных», Трудовым кодексом Российской Федерации и иными федеральными законами.
9.3. Пересылка материальных носителей организациям, государственным органам, а также между подразделениями Оператора, расположенными по различным почтовым адресам, производится в запечатанных конвертах (пакетах) с сопроводительным документом, в котором указывается о наличии персональных данных и требование о соблюдении конфиденциальности персональных данных.
9.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных согласно приложению № 9 к приказу. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
10.1. Субъекты персональных данных имеют право получать у Оператора информацию, касающуюся обработки их персональных данных, в соответствии с частями 1 - 7 статьи 14 Федерального закона «О персональных данных».
10.2. Сведения предоставляются субъекту персональных данных в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
11.1. Защита персональных данных обеспечивается совокупностью организационных, технических и правовых мероприятий, необходимых для обеспечения уровня безопасности персональных данных, установленного законодательством Российской Федерации и внутренними документами Общества, в том числе ограничением доступа к персональным данным и в помещения, в которых осуществляется обработка персональных данных.
11.3. Лица, осуществляющие обработку персональных данных на бумажных и электронных носителях, обеспечивают их защиту от несанкционированного доступа и копирования в соответствии с требованиями законодательства Российской Федерации и внутренних документов Общества.
11.4. Обрабатываемые персональные данные подлежат защите от актуальных угроз безопасности информации. Безопасность персональных данных при их обработке обеспечивается путем принятия правовых, организационных и технических мер, направленных на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
13.1. Ответственный за организацию обработки персональных данных в Обществе назначается приказом генерального директора Общества.
13.2. Ответственный за организацию обработки персональных данных обязан руководствоваться в своей деятельности законодательством Российской Федерации в области обработки и защиты персональных данных, политикой в отношении организации обработки и обеспечения безопасности персональных данных в Обществе, настоящими Правилами и другими локальными документами Общества.