Раскрытие информации \ Обработка персональных данных

Утверждаю
Директор Союза организаций кредитной кооперации
______________________
06 июля 2010 г.

 

ПОЛОЖЕНИЕ по обработке и защите персональных данных.

I.Общие положения

1.1.  Настоящее Положение по обработке и защите персональных данных (далее  — Положение) организации- Союз организаций кредитной кооперации разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Трудовым кодексом РФ, иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.2.  Цель разработки Положения  — определение порядка обработки персональных данных в Организации; обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3.  Порядок ввода в действие и изменения Положения.

1.3.1.  Настоящее Положение вступает в силу с момента его утверждения руководителем Организации и действует бессрочно, до замены его новым Положением.

1.3.2. Все изменения в Положение вносятся приказом.

1.4.  Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.

1.5.  Режим конфиденциальности персональных данных в отношении персональных данных работников организации снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.

1.6.  Контроль за соблюдением настоящего Положения осуществляет ____________________________

II.Основные понятия и состав персональных данных

2. Для целей настоящего Положения используются следующие основные понятия и определения:

«персональные данные»   любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

«оператор»   государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

«субъект»   субъект персональных данных;

«обработка персональных данных»   действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

«распространение персональных данных»   действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

«использование персональных данных»   действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

«блокирование персональных данных»   временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

«уничтожение персональных данных»   действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

«обезличивание персональных данных»   действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

«информационная система персональных данных»   информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

«конфиденциальность персональных данных»   обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

«трансграничная передача персональных данных»   передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

«общедоступные персональные данные»   персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

«информация»    сведения (сообщения, данные) независимо от формы их представления.

«доступ к информации»   возможность получения информации и ее использования:

«документированная информация»    зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

III.Цели и задачи обработки персональных данных


3.1.  В соответствии с разделом 2 настоящего Положения оператором, организующим и осуществляющим обработку персональных данных, является Союз организаций кредитной кооперации РБ.

3.2.  К персональным данным относятся:

3.2.1 Сведения, содержащиеся в основном документе, удостоверяющем личность субъекта.

3.2.2. Сведения о месте жительства субъекта.

3.2.3. Информация, содержащаяся в трудовой книжке работника.

3.2.4. Сведения об образовании, квалификации или наличии специальной подготовки.

3.2.5. Сведения о заработной плате работников.

3.3.  Обработка персональных данных осуществляется с целью получения, хранения, комбинирование, передача или любое другое использование персональных данных работников.

3.4. Обработка персональных данных осуществляется:

- без использования средств автоматизации;

- с использованием автоматизированной информационной системы «1 С Предприятие 7.7.»
(в части расчета зарплаты)

IV.Субъекты персональных данных

4.1. В соответствии с разделом 2 настоящего Положения к субъектам персональных данных относятся следующие категории физических лиц:

- работники Организации;

- кандидаты для приема на работу;

- контрагенты.

4.2. Все персональные данные субъекта персональных данных оператору следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Организации должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

4.3. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

4.4. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку.

Обработка указанных персональных данных возможна только с их согласия, либо без их согласия в следующих случаях:

обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

4.5.  Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

4.6.  Согласие на обработку персональных данных оформляется в письменном виде.

Письменное согласие на обработку своих персональных данных должно включать в себя:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие, а также порядок его отзыва.

4.7.  В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится у оператора.

4.8.  В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные следует получать от его законных представителей.

4.9.  Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

4.10.  Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по письменному запросу на имя руководителя организации.

4.11.  Субъект персональных данных имеет право на получение следующей информации:

сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

перечень обрабатываемых персональных данных и источник их получения;

сроки обработки персональных данных, в том числе сроки их хранения;

сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

4.12.  Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.13.  Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

4.14.  Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при получении письменного запроса субъекта персональных данных или его законного представителя. Письменный запрос должен быть адресован на имя руководителя организации или уполномоченного руководителем лицо.

4.15.  Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.

V.Состав персональных данных, обрабатываемых с использованием автоматизированной системы

5.1.  Состав персональных данных, обрабатываемых с использованием автоматизированной системы Организации, определяется настоящим Положением и соответствует целям и задачам сбора, обработки и использования персональных данных в соответствии с разделом 3 настоящего Положения.

5.2.  Перечень персональных данных автоматизированной информационной системы Организации зависит от категории субъекта персональных данных и утверждается руководителем Организации.

VI.Порядок сбора, хранения и использования персональных данных

6.1.  Субъекты персональных данных при получении от них согласия на обработку персональных данных в автоматизированной информационной системе должны быть ознакомлены с перечнем собираемых и используемых сведений, с целями и задачами сбора, хранения и использования персональных данных.

6.2.  Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

6.3.  Порядок хранения анкет и иных документов, содержащих информацию персонального характера, а также согласий на обработку персональных данных определяются настоящим Положением . Персональные данные сотрудника хранятся на бумажных носителях в помещении Союза организаций кредитной кооперации. Для этого используют специально оборудованные шкафы или сейфы, которые запираются. Ключ от шкафов и сейфов, в которых хранятся сведения о сотрудниках организации, находится у руководителя, а при его отсуствии- у уполномоченного им лица. Личные дела уволенных сотрудников хранятся в налогичном порядке.

6.4.  Ввод персональных данных в автоматизированную систему Организации осуществляется работником, имеющим доступ к работе с персональными данными, и в соответствии с его должностными обязанностями.

6.5.  Сотрудники, осуществляющие ввод и обработку данных с использованием автоматизированной информационной системы, несут ответственность за достоверность и полноту введенной информации.

6.6.  При работе с программными средствами автоматизированной информационной системы Организации, реализующими функции просмотра и редактирования персональных данных, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующих должностных обязанностей.

6.7.  Хранение персональных данных в автоматизированной информационной системе Организации осуществляется на компьютерах Организации с использованием программного обеспечения, отвечающего требованиям безопасности.

6.8.  Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по истечению установленных сроков хранения информации, по достижении целей обработки или в случае утраты необходимости в их достижении.

6.9.  Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

6.10.  Хранение резервных копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, осуществляется на компьютерах организации и сменных носителях, доступ к которым ограничен.

6.11.  Вынос резервных копий баз данных автоматизированной информационной системы, содержащих информацию персонального характера, из организации запрещен. Передача и копирование резервных копий баз данных допустима только для прямого использования с целью технологической поддержки автоматизированной информационной системы.

6.12. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя или уполномоченного им лица.

VII.Особенности предоставления доступа к персональным данным

7.1.  Доступ сотрудников к персональным данным, содержащимся как в автоматизированной информационной системы организации, так и на бумажных носителях осуществляется с письменного согласия руководителя организации или уполномоченного им лица (допуск).

7.2.  Сотрудник, получивший допуск к персональным данным, должен быть ознакомлен с настоящим Положением.

7.3.  При получении доступа к персональным данным сотрудники подписывают Обязательство о неразглашении персональных данных.

7.4.  Доступ к автоматизированной информационной системе Организации имеет руководитель и уполномоченное им лицо.

7.5.  Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной информационной системе. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.

Запрещается использование для доступа к автоматизированной информационной системе Организации учетных записей других пользователей.

7.6.  Созданием, удалением и изменением учетных записей пользователей автоматизированной информационной системы занимается руководитель или уполномоченное им лицо.

7.7.  При получении доступа к персональным данным сотрудники подписывают Обязательство о неразглашении персональных данных.

7.8.  Право доступа к персональным данным субъектов персональных данных в части их касающейся имеют:

директор Организации;

сотрудники бухгалтерии;

юрист;

офис-менеджер.

VIII.Порядок передачи информации, содержащей персональные данные


8.1.  В соответствии с законодательством Российской Федерации персональные данные Организации могут быть переданы правоохранительным, судебным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а также в случаях, установленных федеральным законом.

8.2.  Запрещается сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.

8.3.  Передача информации третьей стороне возможна только при письменном согласии работников.

IX. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных


9.1.  Нарушение требований настоящего Положения может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.

9.2.  Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение

*  *  *  *  *

 

Согласие на обработку персональных данных

 

«_____» ___________20___ г.

__________________________________________ именуемый в дальнейшем «Субъект персональных данных» разрешает Союзу организаций кредитной кооперации , в лице ответственного за обработку персональных данных _______________ далее «Оператор», обработку персональных данных, приведенных в пункте 3 настоящего согласия на следующих условиях:

1. Субъект дает согласие на обработку Оператором своих персональных данных, то есть совершение следующих действий: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, при этом описание вышеуказанных способов обработки данных приведено в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», в следующих целях:

- в целях исполнения трудового договора;

- для обеспечения личной безопасности, защиты жизни и здоровья работника;

- в целях ведения финансово-хозяйственной деятельности организации;

2. Перечень персональных данных, передаваемых Оператору на обработку:

- дата и место рождения;

- биографические сведения;

- сведения об образовании (образовательное учреждение, время обучения, присвоенная квалификация);

- сведения о местах работы (город, название организации, должность, сроки работы);

- сведения о семейном положении, детях (фамилия, имя, отчество, дата рождения);

- сведения о месте регистрации, проживании;

- контактная информация;

- паспортные данные;

- сведения о постановке на налоговый учет (ИНН);

- сведения о регистрации в Пенсионном фонде (номер страхового свидетельства).

3. В соответствии с пунктом 4 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» субъект персональных данных по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных.

4. Срок действия данного согласия устанавливается на 5 лет.

5. Оператор вправе осуществлять следующие действия с указанными выше персональными данными:

- сбор;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- использование.

6. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

Союз организаций кредитной кооперации 

г. Уфа, ул. Пушкина, д.109

Ответственный за обработку ПДн _______________

Субъект персональных данных:

Фамилия, имя, отчество_____________________________________________________________________

Адрес ____________________________________________________________________________________

Паспортные данные _________________выдан _________________________________________________

__________________/______________________/

Подпись ФИО

 

*  *  *  *  *

 

Обязательство/соглашение о неразглашении персональных данных субъекта персональных данных

 

Я, ______________________________________, паспорт серии ____________, номер__________,выданный _______________________________________________________ « ___ » ___________ _____ года в период трудовых отношений с Союзом организаций кредитной кооперации и в течение _____________ лет после их прекращения в соответствии с Положением об обработке и защите персональных данных в СОКК обязуюсь:

1) не разглашать и не передавать третьим лицам сведения, содержащие персональные данные, которые мне будут доверены или станут известны по работе, кроме случаев, предусмотренных законодательством Российской Федерации и с разрешения ответственного за обработку данных в организации;

2) выполнять требования приказов, положения и инструкций по обработке персональных данных в части меня касающейся;

3) не производить преднамеренных действий, нарушающих достоверность, целостность или конфиденциальность персональных данных, хранимых и обрабатываемых в СОКК .

До моего сведения также доведены с разъяснениями соответствующие положения по обеспечению сохранности персональных данных при автоматизированной обработке информации, а также при обработке информации без использования средств автоматизации.

Мне известно, что нарушение этого обязательства может повлечь ответственность, предусмотренную трудовым, административным и уголовным законодательством Российской Федерации.

« ___ » __________ 20___ г. ____________________

(подпись)