Политика обработки персональных данных: как составить документ. Важные правила составления политики в отношении обработки и защиты персональных данных

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, - разместить на сайте политику обработки персональных данных».

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения - нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты.

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа:

• на граждан в размере от 700 до 1 500 рублей;
• на должностных лиц - от 3 000 до 6 000 рублей;
• на индивидуальных предпринимателей - от 5 000 до 10 000 рублей;
• на юридических лиц - от 15 000 до 30 000 рублей.

Минимум, что нужно сделать сейчас, - разместить на сайте политику обработки персональных данных .

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

• любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
• регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
• форма заказа обратного звонка - какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
• рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
• отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
• возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть. Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки. Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

• для заказа авиабилетов нужны паспортные данные, для доставки пиццы - нет;
• для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза - нет;
• для бронирования билета в кино - вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. - персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, - влечет предупреждение или наложение административного штрафа:

• на граждан в размере от 1 000 до 3 000 рублей;
• на должностных лиц - от 5 000 до 10 000 рублей;
• на юридических лиц - от 30 000 до 50 000 рублей.

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними.

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте - заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт.

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта.

И вот какой ответ получил:

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным.

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма - это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта. Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа. Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования к содержанию письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

• Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
• Статья 10 - специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
• Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
• Статья 12 касается трансграничной передачи персональных данных.
• Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы - только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта - это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», « подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных » , где текст, выделенный курсивом, - это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина - администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП - предупреждение или наложение административного штрафа

• на граждан в размере от 100 до 300 рублей;
• на должностных лиц - от 300 до 500 рублей;
• на юридических лиц - от 3 000 до 5 000 рублей.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять. Самый распространенный - персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных. Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Пункт 2 статьи 10 Федерального закона от 27.07.2006 №149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации»:

Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о ее обладателе или об ином лице, распространяющем информацию, в форме и в объеме, которые достаточны для идентификации такого лица.

Владелец сайта в сети «Интернет» обязан разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, адресе электронной почты для направления заявления, указанного в статье 15.7 настоящего Федерального закона (досудебные меры по прекращению нарушения авторских прав), а также вправе предусмотреть возможность направления этого заявления посредством заполнения электронной формы на сайте в сети «Интернет».

Михаил Хохолков о персональных данных

28 июля Михаил Хохолков, ведущий юрист ИНТЕЛЛЕКТ-С, в студии телеканала Malina.Am рассказал о поправках в закон о персональных данных.

1. Общие положения

1.1. Целью настоящей Политики об обработке и защите персональных данных (далее — Политика) является обеспечение ООО «АЙЗЕЛ.РУ» (далее «Компания») процесса обработки персональных данных (далее также «ПДн») согласно нормам и принципам действующего федерального законодательства.

1.2. Настоящая Политика распространяется на все бизнес процессы Компании и обязательна к выполнению всеми сотрудниками Компании.

1.3. Между Компанией и ООО «Ландо — управление финансами» заключен договор об оказании услуг аутсорсинга, в том числе услуг по кадровому, бухгалтерскому, юридическому, финансовому, IT сопровождению.

1.4. Генеральный директор Компании является лицом, ответственным за организацию обработки персональных данных.

1.5. Для координации работ сторонних организаций, в случае их привлечения Компанией, и выполнения функций по облуживанию информационных систем, не требующих лицензии, из состава ООО «Ландо — управление финансами» приказом Генерального директора назначается ответственное лицо за обеспечение безопасности ПДн в информационных системах Компании (далее — Ответственный за безопасность ПДн).

2. Определения

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных);

2.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.10. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.11. Машинный носитель — магнитный диск, магнитная лента, лазерный диск и иные материальные носители, используемые для записи и хранения информации с помощью электронно-вычислительной техники.

3. Принципы и условия обработки ПДн

3.1. Обработка ПДн в Компании производится строго в соответствии со следующими принципами:

• Обработка ПДн осуществляется на законной и справедливой основе.
• -Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.
• Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, Компания не обрабатывает избыточные персональные данных.
• При обработке обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
• Обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Компания может включать ПДн субъектов в общедоступные источники ПДн, при этом Компания берет письменное согласие субъекта на обработку его ПДн.

3.3. Компания не осуществляет обработку ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

3.4. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) в Компании не обрабатываются.

3.5. Компания не осуществляет трансграничную передачу ПДн.

3.6. В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу ПДн третьим лицам (федеральной налоговой службе, государственному пенсионному фонду иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

3.7. Компания вправе поручить обработку ПДн субъектов ПДн третьим лицам на основании заключаемого с этими лицами договора. В частности, Компания может передавать ПДн субъектов ООО «Ландо — управление финансами», (127051, г. Москва, ул. Петровка, д. 16, комн. 49, ИНН 7707269680), на основании заключённого договора.

3.8. Лица, осуществляющие обработку ПДн на основании заключаемого с Компанией договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные Законом.

3.9. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка ПДн в Компании осуществляется как с использованием, так и без использования средств автоматизации, т. е. смешанная обработка ПДн.

3.10. Принятие решений, порождающих юридические последствия, на основании автоматизированной обработки ПДн в Компании не осуществляется. В противном случае, необходимо соответствующее согласие субъектов ПДн.

3.11. Обработка ПДн в Компании должна осуществляться с согласия субъекта ПДн, кроме случаев, когда такое согласие не требуется или же по поручению, в тех случаях когда Компания не является оператором ПДн субъектов.

3.12. Согласие на обработку ПДн должно удовлетворять следующим требованиям:

• согласие субъекта должно быть получено свободно, согласно воле субъекта и в его интересах;
• согласие должно быть дано субъектом ПДн в любой позволяющей подтвердить факт его получения форме.

3.13. Сроки обработки (хранения) ПДн определяются исходя из целей обработки ПДн, в соответствии со сроком действия договора с субъектом ПДн, требованиями федеральных законов, требованиями операторов ПДн, по поручению которых Компания осуществляет обработку ПДн, основными правилами работы архивов организаций, сроками исковой давности.

3.14. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПДн после прекращения их обработки допускается только после их обезличивания.

4. Правовые основания и цели обработки ПДн

4.1. Обработка и обеспечение безопасности ПДн в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Закона, Трудового кодекса Российской Федерации, подзаконных актов, других определяющих случаи и особенности обработки ПДн федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

4.2. Субъектами ПДн, обрабатываемых Компанией, являются:

• кандидаты на вакантные должности;
• работники Компании, родственники работников Компании, в пределах определяемых законодательством Российской Федерации, если сведения о них предоставляются работником;
• лица, входящие в органы управления Компании и не являющимися работниками;
• физические лица, с которыми Компанией заключаются договоры гражданско-правового характера;
• представители юридических лиц — контрагентов Компании;
• участники бонусных программ лояльности;
• клиенты — потребители, в т. ч. посетители сайтов, принадлежащего Компании: , http://www.theoutlet.ru , (далее — «Сайты») в том числе с целью оформления заказа с последующей доставкой клиенту;
• клиенты — подписчики на новостную рассылку интернет-журнала aizeMag;

4.3. Компания осуществляет обработку ПДн субъектов в следующих целях:

• осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 № 2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами ПДн, уставом и локальными актами Компании.

Работников в целях:

• соблюдения трудового, налогового и пенсионного законодательства Российской Федерации, а именно:
  • содействия работникам в трудоустройстве, обучении и продвижении по службе;
  • расчета и начисления заработной платы;
  • организация деловых поездок (командировок) работников;
  • оформления доверенностей (в том числе для представления интересов Компании перед третьими лицами);
  • обеспечения личной безопасности работников;
  • контроля количества и качества выполняемой работы;
  • обеспечения сохранности имущества;
  • соблюдения пропускного режима в помещениях Компании;
  • учета рабочего времени;

Кандидатов на вакантные должности в целях:

• принятия решения о возможности заключения трудового договора с лицами, претендующими на имеющиеся вакансии;

Лиц, входящих в органы управления Компании, не являющихся работниками, в целях:

• выполнения требований, предусмотренных законодательством, в т. ч. обязательное раскрытие информации, аудит, проверка возможности совершения сделок, в том числе сделок с заинтересованностью и/или крупных сделок.

Контрагентов-физических лиц в целях:

• заключения и исполнения договора, одной из сторон которого является физическое лицо;
• рассмотрения возможностей дальнейшего сотрудничества.

Представителей юридических лиц — контрагентов Компании в целях:

• ведения переговоров, заключение и исполнение договоров, по которым предоставляются ПДн работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Компании.

Участников бонусных программ лояльности в целях:

• предоставления информации по товарам, проходящим акциям, состоянию лицевого счета;
• идентификация участника в программе лояльности; обеспечение процедуры учета накопления и использования бонусов;
• исполнения Компанией обязательств по программе лояльности.

Клиентов — потребителей в целях:

• предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;
• анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
• информирования о статусе заказа;
• исполнения договора, в т. ч. договора купли-продажи, в. т. ч. заключенного дистанционным способом на Сайтах, возмездного оказания услуг;
• доставки заказанного товара клиенту, совершившему заказ на Сайтах, возврата товара.

Клиентов — подписчиков интернет-журнала AizelMag в целях:

• подписки на новостную рассылку.

4.4. Компания может осуществлять обработку персональных данных клиентов, полученных онлайн — в сети Интернет (Сайты, мобильные приложения, социальные сети, электронная почта), офлайн — магазины (бутики), точки продаж, мероприятия (путем заполнения печатных регистрационных форм), а также при звонке в колл-центры (центры поддержки клиентов).

5. Права и обязанности субъектов ПДн

5.1. Субъект, ПДн которого обрабатываются Компанией, имеет следующие права:

• получать от Компании информацию, касающуюся обработки его ПДн (в том числе содержащую подтверждение факта обработки ПДн, правовые основания, цели, обработки, сроки обработки, сроки хранения, наименование и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу, иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»);
• требовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• отозвать свое согласие на обработку ПДн в любой момент.

5.2. Сведения предоставляются субъекту ПДн на основании запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией, либо сведения иным образом подтверждающие факт обработки ПДн Клиентом, подпись субъекта или его представителя.

5.3. Запрос может быть направлен по адресу местонахождения компании: РФ, 127247, г. Москва, Дмитровское шоссе, д. 100, стр. 3, комн. 24, в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской федерации.

6. Права и Обязанности Компании

6.1. Компания в процессе обработки ПДн обязана:

• предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
• опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
• предоставить субъектам ПДн и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса;
• осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекту ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн;
• уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Компании) в течение 7 рабочих дней со дня представления сведений и снять блокирование ПДн, в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем;
• прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Компании, в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий 3 рабочих дней с даты этого выявления;
• прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по договору с Компанией) по достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, в случае достижения цели обработки ПДн;
• прекратить обработку ПДн или обеспечить ее прекращение и уничтожить ПДн или обеспечить их уничтожение в случае отзыва субъектом ПДн согласия на обработку ПДн, если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн;
• вести журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам.

7. Обеспечение безопасности ПДн при их обработке

7.1. При обработке ПДн Компания принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного и/или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

7.2. К таким мерам в соответствии с Законом, в частности, относятся:

• назначение лица, ответственного за организацию обработки ПДн, и лица, ответственного за обеспечение безопасности ПДн;
• разработка и утверждение локальных актов по вопросам обработки и защиты ПДн;
• применение правовых, организационных и технических мер по обеспечению безопасности ПДн:
  • определение угроз безопасности ПДн при их обработке в информационных системах персональных ПДн;
  • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
  • учет машинных носителей ПДн, если хранение ПДн осуществляется на машинных носителях;
  • обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к Данным, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе ПДн.
• контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн;
• оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
• соблюдение условий, исключающих несанкционированный доступ к материальным носителям ПДн и обеспечивающих сохранность ПДн;
• ознакомление работников Компании, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн, и обучение работников Компании.

7.3. Требования к обработке ПДн на материальных носителях:

• Работники, осуществляющие обработку ПДн на материальных носителях, до начала обработки должны быть проинформированы о категориях ПДн, об особенностях и правилах обработки ПДн.
• Работник Компании отвечает за хранение и уничтожение материальных носителей с ПДн, с которыми он работает.
• ПДн, обрабатываемые на материальных носителях, должны храниться на отдельно от иной информации.
• Хранение материальных носителей ПДн осуществляется только при наличии действующего согласия субъекта ПД на обработку ПДн или действующего договора, стороной которой является субъект ПДн.
• В Компании осуществляется хранение резюме и анкет кандидатов на вакантные должности в независимости принят кандидат в штат или нет. Хранение данных резюме и анкет может осуществляться только с согласия кандидата на обработку его ПДн, с указанием срока действия согласия. В случаях истечения срока обработки ПДн или требования субъекта ПДн об уничтожении ПДн, резюме и анкеты уничтожаются с использованием шредера.
• Хранение материальных носителей ПДн в открытом доступе в рабочих помещениях подразделений Компании и на столах работников допускается только в течение рабочего дня, под персональной ответственностью работника. По окончании работы с материальным носителем работник должен убрать материальный носитель в запираемый шкаф, закрепленный за работником, или в шкаф непосредственного руководителя. Доступ к шкафам должен быть ограничен перечнем лиц, имеющих доступ к ПДн.
• В случае окончания срока обработки ПДн работник осуществляет уничтожение бумажных носителей ПДн с использованием шредера без оформления акта об уничтожении.

7.4. Ревизия осуществляется независимо каждым работником в отношении материальных носителей ПДн, с которыми он работает. В ходе ревизии должны быть выявлены бумажные носители ПДн, которые не требуются работникам для дальнейшего выполнения своих трудовых обязанностей.

7.5. Работники Компании получают доступ к ПДн исключительно в объеме, необходимом для выполнения своих должностных обязанностей.

8. Ответственность за нарушения норм, регулирующих обработку ПДн

8.1. Обеспечение конфиденциальности ПДн, обрабатывающихся в Компании, является обязательным требованием для всех работников, которым ПДн стали известны, как в связи с рабочей деятельностью, так и по случайности или ошибке.

8.2. Работники несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных в Компании.

8.3. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения компанией, ее работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут ответственность, предусмотренную действующим законодательством Российской Федерации.

9. Заключительные положения

9.1. Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается путем ее опубликования на Сайтах, размещением в магазинах (бутиках) и на сетевом диске, доступном для всех работников Компании.

9.2. Настоящая Политика может быть пересмотрена в силу изменения норм действующего законодательства или по решению Компании.

Согласно последним изменениям в федеральном законодательстве – вступлением в силу изменений в Федеральном законе № 152-ФЗ от 27.07.2006 “О персональных данных” от 01 июля 2017 года (начало действия Федерального закона от 07.02.2017 № 13-ФЗ “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях”), в целях выявления наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработки мер по их устранению и недопущению в дальнейшем, в любой компании – организации, учреждении, предприятии, в различных системах социальной сферы и прочих (включая в ДОУ, школах) необходимо срочно принять целых пакет документов относительно политики конфиденциальности персональных данных.

Самый первый основополагающий документ в организации, с которого нужно начать – это Политика оператора в отношении обработки и защиты персональных данных .

Данная статья, является первым продолжением темы политики конфиденциальности, развернутой на главной странице – , где Вы сможете обозреть всю сеть необходимых документов, излагаемых в логической последовательности.

Если Вам нужно сделать документы не для компании, а для Вашего Сайта, переадресовываю к следующей странице: .

Здесь, я привожу пример и образец 2018-2019 года, как делать Политику оператора в отношении обработки и защиты персональных данных в учреждении, на примере организации социального обслуживания населения.

Все отформатированные шаблоны-документы в формате docx в конце каждого пункта Вам будут доступны бесплатно для прямого скачивания по прямой ссылке.

Вам останется только немного их редактировать и применить к своему предприятию, заменив название организации.

Итак, начнем…

В прилагаемом тексте Политики вверху справа обозначаются реквизиты документа (кем утверждена Политика): должность, наименование организации, дата, номер приказа.

УТВЕРЖДЕНА
приказом директора
ГКУ СО «Наименование» ЦСОН»
от 30.06.2018 г. № 37

Политика оператора в отношении обработки и защиты персональных данных ГКУ СО «Наименование ЦСОН»: образец 2018-2019 года

1.Общие положения

1.1. В целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных ГКУ (ГБУ) СО «Наименование ЦСОН» (вставите свое наименование) (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.2. Настоящая политика в отношении обработки и защиты персональных данных в ГКУ СО «Наименование ЦСОН» (далее – Политика) характеризуется следующими признаками:

1.2.1. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

1.2.2. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

2.Информация об Операторе

Наименование:

• полное официальное наименование: государственное казенное (бюджетное) учреждение социального обслуживания «Наименование центр социального обслуживания населения»;
• официальное сокращенное наименование: ГКУ СО «Наименование ЦСОН».

ИНН: 0000000000.

Фактический адрес: 000000, Наименование область, Наименование район, станица Наименование, улица Наименование, 37.

Тел., факс: (00000): 0-00-00, 0-00-00.

Реестр операторов персональных данных:

https://rkn.gov.ru/personal-data/register/?id=00-000000.

– Номер в реестре операторов персональных данных: 00-0000000.

– Дата и основание внесения оператора в реестр: 00.00.2010, приказ № 000.

3.Правовые основания обработки персональных данных

3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

• Конституцией Российской Федерации;
• Трудовым кодексом Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральным законом от 27.06.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
• Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

3.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:

3.2.1. Правила обработки персональных данных

3.2.2. Перечень обрабатываемых персональных данных

3.2.3. Перечень информационных систем персональных данных.

3.2.4. Перечень работников, допущенных к работе с персональными данными.

3.2.5. Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

3.2.6. Акты классификации информационных систем персональных данных.

4.Цели обработки персональных данных

4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

4.1.1. Обеспечение реализации государственной политики по социальной поддержке и социальному обслуживанию пенсионеров, ветеранов, инвалидов, малоимущих граждан, граждан пожилого возраста, семей с детьми, несовершеннолетних и других категорий населения, нуждающихся в государственной социальной поддержке и помощи, а также государственной семейной и демографической политики на территории Волгоградской области, предоставление социальных услуг.

4.1.2. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.

4.1.3. Осуществления пропускного режима.

5.Категории обрабатываемых персональных данных, источники их получения, сроки обработки и хранения

5.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:

5.1.1. Персональные данные сотрудников. Источники получения: субъекты персональных данных ГКУ СО «Наименование ЦСОН».

5.1.2. Персональные данные получателей социальных услуг, их представителей, члены их семей. Источники получения: граждане, обратившиеся в ГКУ СО «Наименование ЦСОН».

5.2. Сроки обработки и хранения персональных данных определены в Перечне обрабатываемых персональных данных ГКУ СО «Наименование ЦСОН».

6.Основные принципы обработки, передачи и хранения персональных данных

6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».

6.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

6.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

6.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

6.5. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.

6.6. Оператором созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.

7.Сведения о третьих лицах, участвующих в обработке персональных данных

7.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

7.1.1. Федеральной налоговой службе.

7.1.2. Отделению Пенсионного фонда РФ по Наименование области.

7.1.3. Участникам системы межведомственного электронного взаимодействия.

7.1.4. Негосударственным пенсионным фондам.

7.2. Оператор не поручает обработку персональных данных другим лицам на основании договора.

8.Меры по обеспечению безопасности персональных данных при их обработке

8.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

8.1.1. Назначением ответственных за организацию обработки персональных данных.

8.1.2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

8.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.

8.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

8.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

8.1.6. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

8.1.7. Учетом машинных носителей персональных данных.

8.1.8. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

8.1.9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8.1.10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

8.1.11. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8.2. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в должностных регламентах вышеуказанных лиц.

9.Права субъектов персональных данных

9.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

9.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

9.3.1. Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.

9.3.2. При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.

9.3.3. Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

9.3.4. Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9.3.5. Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

9.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

9.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

С 1.07.2017 г. вступили в действие изменения в КоАП и ФЗ № 152. В соответствии с ними, всем организациям, учреждениям, предприятиям необходимо разработать и утвердить особый документ - Политику в отношении обработки персональных данных .

Актуальность вопроса

Новые требования законодательства направлены на защиту граждан от несанкционированного доступа и незаконного использования их личных сведений. Особое внимание законодатель уделил социально значимым объектам: ДОУ, школам.

Позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.

Законодательством предусмотрены периодические проверки субъектов на предмет соответствия фактического уровня защиты установленным требованиям. Мониторинг осуществляют территориальные подразделения Роскомнадзора.

Политика в отношении обработки персональных данных - это документ, состоящий из нескольких разделов. В них приводятся сведения о субъекте, осуществляющем сбор и обработку данных, и о третьих лицах, участвующих в этом процессе, меры по защите информации, ссылки на нормативные документы, права носителей персональных сведений. Далее будет описан типовой образец Политики в отношении обработки персональных данных.

Титульная страница

Справа вверху должен присутствовать гриф утверждения. В нем присутствуют: наименование должности, Ф. И. О. руководителя и его подпись, а также печать организации.

По центру, с небольшим отступом от грифа указывается наименование документа. Например, оно может быть таким:

"Политика ООО "__" в отношении обработки персональных данных и сведениях о реализуемых мерах по их защите".

Как правило, с титульного листа начинается текст документа.

В Общих положениях Политики в отношении обработки персональных данных приводится информация о самом документе. Ключевые его задачи состоят в:

1. Раскрытии основных категорий персональных сведений, целей, способов, принципов их обработки, обязанностей и прав предприятия в процессе использования данных.
2. Обеспечении защиты конфиденциальности персональной информации.

Образец Политики в отношении обработки персональных данных содержит также указание на общедоступность документа.

Сведения об организации

В качестве субъекта, осуществляющего сбор и обработку личных сведений, может выступать любое предприятие, организация, в том числе оказывающая услуги оператора. Политика в отношении обработки персональных данных содержит информацию о:

1. Наименовании субъекта. Оно приводится в полной и сокращенной форме.
2. Фактическом адресе.
3. Телефоне, факсе.

В Политику оператора в отношении обработки персональных данных включаются также сведения о номере, дате и основании их внесения в единый реестр.

Нормативные основания

В этом разделе Политики организации в отношении обработки персональных данных приводятся указания на правовые документы, которыми руководствуется компания при работе с личными сведениями. К основным нормативным актам относят:

• Конституцию РФ.
• ТК РФ.
• ГК РФ.
• ФЗ № 160.
• ФЗ № 152.
• ФЗ № 210.
• ФЗ № 326.
• ФЗ № 149.

В целях реализации Политики в отношении обработки персональных данных компания принимает ряд локальных актов. В их числе Перечни:

• Личных сведений, подвергающихся обработке.
• Информационных систем, используемых при работе с информацией.
• Сотрудников, имеющих допуск к персональным данным.

Кроме того, утверждаются:

• Правила обработки информации.
• Акты классификации информсистем.
• Модели возможных угроз безопасности личных данных в ходе их обработки.

Цели работы с информацией

В должен присутствовать закрытый перечень задач, реализуемых организацией. Обработка сведений должна осуществляться для:

1. Обеспечения реализации госполитики по соцподдержке и социальному обслуживанию граждан, в том числе относящихся к категории особо нуждающихся. В их числе: малоимущие, пенсионеры, инвалиды любой группы, многодетные семьи, несовершеннолетние и пр.
2. Оформления трудовых договоров, гражданско-правовых соглашений, контрактов с контрагентами и исполнения их условий.
3. Организации пропускного режима.

Категории сведений

Политика в отношении обработки персональных данных предусматривает работы с личными сведениями:

• сотрудников;
• получателей услуг, их родственников, представителей.

Источниками этой информации являются сами ее носители.

Принципы работы со сведениями

Согласно Политике в отношении обработки персональных данных , субъект, работающий с информацией, обязан соблюдать положения 5 статьи ФЗ № 152.

Если организация не работает с в Политике должно быть это указано. Биометрические сведения характеризуют биологические и физиологические особенности человека, по которым устанавливается его личность.

К другим основополагающим принципам работы с личной информацией следует отнести:

1. Неиспользование специальных категорий сведений, относящихся к национальной/расовой принадлежности, религиозным, политическим взглядам, философским убеждениям, интимной жизни, состоянию здоровья.
2. Исключение трансграничной передачи информации (в другое государство, иностранному гражданину или юрлицу).
3. Передача сведений сторонним лицам осуществляется исключительно с согласия носителя на основании соглашения.
4. Формирование общедоступных источников личных данных (справочников, адресных книг), сообщаемых гражданином. Информация, в соответствии с Политикой конфиденциальности в отношении обработки персональных данных , включается в них только с его согласия.

Третьи лица, задействованные в работе с личными данными

Для реализации требований законодательства, достижения целей работы с персональной информацией, в интересах и по согласию носителей сведения передаются:

• Субъектам системы электронного межведомственного взаимодействия.
• Отделениям негосударственных пенсионных фондов.

Меры безопасности

Этот раздел Политики в отношении обработки персональных данных считается одним из самых значимых.

Субъект, работающий с личной информацией граждан, обязан предпринять все юридические, технические и организационные меры по предотвращению случайного или противоправного доступа, изменения, уничтожения, копирования, блокирования, распространения и совершения иных противозаконных действий с ней.

В организации должны быть назначены служащие, ответственные за организацию работы с информацией.

В обязательном порядке предусматривается внутренний контроль/аудит соответствия обработки сведений требованиям ФЗ № 152, а также нормативным документам, принятым на его основании, в том числе локальным актам. Все сотрудники, работающие с личной информацией граждан, должны быть ознакомлены с их положениями.

До ввода в эксплуатацию информсистемы должна быть проведена оценка эффективности мер, предпринимаемых для обеспечения защиты сведений.

Факты несанкционированного доступа к персональным данным должны выявляться оперативно. При их обнаружении организация обязана принимать меры по восстановлению измененных либо уничтоженных сведений.

Доступ к персональным данным должен осуществляться по установленным в законодательстве и других, в том числе В организации должны обеспечиваться регистрация и учет действий, совершаемых с личной информацией граждан. Обязательным требованием законодательства является установление контроля за мерами, предпринимаемыми для защиты данных и информсистем.

В должностных регламентах определяются обязанности сотрудников, работающих с личной информацией.

Права носителей персональных данных

Граждане вправе получать сведения о процессе обработки их личной информации. Носитель данных может потребовать их уточнения, уничтожения либо блокирования, если они:

• устарели;
• являются неполными/неточными;
• получены противоправным способом;
• не являются необходимыми для заявленных целей обработки.

Носитель информации вправе принимать меры для защиты своих интересов в рамках действующего законодательства.

Ограничение прав

Оно допускается исключительно в случаях, предусмотренных законом. Права граждан на доступ к их персональным данным ограничивается, если:

• Обработка информации, включая ту, что получена при оперативно-розыскной, разведывательной или контрразведывательной деятельности, осуществляется для обеспечения безопасности, обороноспособности государства и охраны порядка.
• С личными сведениями работают органы, производившие задержание лиц, подозреваемых/обвиняемых в преступлениях, применившие к субъектам меры пресечения. Исключение составляют случаи, закрепленные УПК.
• Обработка данных направлена на противодействие отмывания (легализации) доходов, полученных незаконным путем, а также на пресечение финансирования терроризма.
• Работа с информацией осуществляется для обеспечения безопасного функционирования транспортной инфраструктуры, защиты прав и интересов личности, государства и общества в транспортной сфере.

Важные моменты

В Политике об обработке персональной информации должны закрепляться меры, которые может предпринимать гражданин для защиты своих прав. В частности, субъект может обратиться непосредственно к лицам, работающим с его личными данными.

Организация должна рассматривать любые жалобы и обращения, тщательно изучать их. При необходимости проводится внутреннее расследование нарушений. Организация обязана предпринять все меры для незамедлительного устранения выявленных нарушений, наказания виновных и урегулирования конфликтов в досудебном порядке.

Носитель персональных сведений может оспорить действия/бездействия организации, ее сотрудников посредством обращения в орган, уполномоченный на реализацию функций по защите прав субъектов персональной информации. Он также может потребовать компенсации морального либо материального вреда в судебном порядке.

Контактные сведения

В Политике должна присутствовать информация о лицах, ответственных за организацию работы с персональными сведениями. Им может являться руководитель отдела по приему граждан, организационно-технической работы и социального сопровождения. Должны указываться его Ф. И. О., должность, номер телефона. По усмотрению руководства организации в контактных данных может присутствовать адрес эл. почты.

Кроме того, в этом разделе Политики должны указываться сведения о контролирующем органе:

1. Почтовый адрес.
2. Наименование.
3. Официальный сайт.
4. Адрес эл. почты.
5. Номера телефонов.

Заключительные положения

В этом разделе приводится информация о разработчиках Политики и лице, контролирующем ее исполнение в организации. В качестве первых выступает, как правило, компании. Контроль исполнения положений возлагается на руководителя организации или его заместителя. Ф. И. О. и должность ответственного лица должна обязательно указываться в документе.

Приказ об утверждении

Разработанный проект Политики передается руководителю для согласования. Утверждение документа осуществляется по приказу директора. Этот акт составляется по типовому образцу, принятому в соответствии с номенклатурой дел, на основании Инструкции по делопроизводству.

В Приказе присутствуют следующие сведения:

1. Наименование организации.
2. Название документа.
3. Дата составления, номер.
4. Преамбула.
5. Текст.
6. Дата вступления в силу.
7. Ф. И. О. руководителя предприятия, подпись.
8. Подписи лиц, ознакомленных с приказом.

Преамбула, как правило, обычно выглядит следующим образом:

"В соответствии с п. 2 ст. 18.1 ФЗ № 152 "О персональных данных", Постановлением правительства № 211 от 21.03.2012 г., принятыми на их основании нормативными актами, приказываю…"

"Утвердить Политику "___" в отношении обработки персональных данных".

Операторы должны размещать утвержденный документ на официальном сайте региона в разделе "Реестр поставщиков соц. услуг". В этой связи в приказе указывается следующее:

"Начальнику отдела по работе с гражданами (Ф. И. О.) в течение 10 дней с даты утверждения опубликовать Политику на официальном сайте (наименование региона) в разделе "Реестр поставщиков социальных услуг".

Дополнительно

Если в организации ранее была утверждена Политика, ее следует пересмотреть и при необходимости внести изменения. Откорректированный документ следует утвердить заново. При этом приказ, на основании которого была принята действовавшая до изменений Политика, нужно отменить. Для этого издается распоряжение. В нем можно одновременно отменить ранее действовавший приказ и утвердить откорректированную политику.

Заключение

В последнее время вопросу обеспечения защиты персональных сведений уделяется повышенное внимание. Это связано со стремительным развитием компьютерных технологий, появлением новых возможностей для недобросовестных пользователей. Каждая организация, работающая с персональными данными, должна гарантировать их носителям безопасность.

Положения Политики должны быть доведены до сведения всех работников. Требования, предусмотренные документом, являются обязательными для исполнения всеми подразделениями компаний, учреждений, предприятий и других лиц, участвующими в работе с личной информацией граждан. Нарушение предписаний влечет ответственность в соответствии с нормами действующего законодательства.

1.1. Настоящий документ определяет Политику Акционерного Общества «Региональный Сетевой Информационный Центр» (далее - «Общество», «Организация») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - «Политика») в соответствии с требованиями ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. В настоящей Политике используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

субъект персональных данных - физическое лицо, к которому прямо или косвенно относятся персональные данные.

2. Принципы обработки персональных данных в Обществе:

2.1. Обработка персональных данных осуществляется на законной и справедливой основе;

2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

2.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных;

2.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

2.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использование баз данных, находящихся на территории Российской Федерации.

3. Правовые основания обработки персональных данных:

Обработка персональных данных в Обществе осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», ст. 53 Федерального закона РФ от 07.07.2003 г, №126-ФЗ «О связи», Трудовым кодексом Российской Федерации, Постановлением Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иных нормативно-правовых актов в области защиты персональных данных.

4. Цели обработки персональных данных:

4.1. Общество собирает, хранит и обрабатывает только те персональные данные, которые необходимы для оказания услуг и для осуществления своей деятельности, а также для обеспечения прав и законных интересов третьих лиц при условии, что при этом не нарушаются права субъекта персональных данных.

4.2. Персональные данные субъекта персональных данных могут быть обработаны в следующих целях;

4.2.1. Для идентификации субъекта персональных данных;

4.2.2. Для осуществления возможности регистрации и обслуживания доменного имени;

4.2.3. Для связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, запросов и информации, связанной с оказанием услуг, а также для обработки запросов и заявок от субъектов персональных данных;

4.2.4. Для проведения статистических и иных исследований на основе обезличенных данных.

4.3. Организация не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, а также биометрические персональные данные.

5. Состав персональных данных:

5.1. Персональные данные субъекта персональных данных - работника Общества - информация, необходимая Обществу в связи с оформлением, изменением, расторжением трудовых отношений.

5.2. Персональные данные субъекта персональных данных - клиента Общества - информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с субъектом персональных данных (клиентом Общества) и для выполнения требований законодательства Российской Федерации в области защиты персональных данных.

6. Обработка персональных данных:

6.1. Обработка персональных данных субъектов персональных данных Общества осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов РФ, обучения субъектов персональных данных-работников Общества, обеспечения личной безопасности субъектов персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества.

6.2. Обработка персональных данных осуществляется Обществом с согласия субъектов персональных данных, как с использованием средств автоматизации, так и без использования таких средств.

6.3. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных действующим законодательством в области защиты персональных данных.

6.4. По мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства персональные данные субъекта без его согласия могут быть переданы:

• в судебные органы в связи с осуществлением правосудия;
• в органы федеральной службы безопасности;
• в органы прокуратуры;
• в органы полиции;
• в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.5. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.

6.6. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в действующем законодательстве.

6.7. Правовое регулирование порядка и сроков хранения документов, содержащих персональные данные субъектов персональных данных, осуществляется на основе «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденного Приказом Минкультуры России от 25.08.2010 г. № 558,

6.8. Уничтожение документов, содержащих персональные данные, производится любым способом, исключающим ознакомление посторонних лиц с уничтожаемыми материалами и возможность восстановления их текста.

7. Конфиденциальность персональных данных

7.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений и в связи с оказанием Обществом услуг, является конфиденциальной информацией и охраняется действующим законодательством.

7.2. Лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.

7.3. Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.

7.4. Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия,

8. Меры, направленные на обеспечение выполнения Обществом обязанностей, предусмотренных ст. 18.1., 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

8.1. Назначено ответственное лицо за организацию обработки персональных данных в Обществе.

8.2. Приказом руководителя Общества утверждены локальные акты, устанавливающее процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

8.3. Применяются предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества,

8.4. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8.5. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям действующего законодательства в Обществе организовано проведение периодических проверок условий обработки персональных данных.

8.6. Производится ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.

8.7. Общество несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.

8.8. Для обеспечения неограниченного доступа к Политике Общества в отношении обработки персональных данных и сведениям о реализованных мерах по защите персональных данных текст настоящей Политики опубликован на официальном сайте Общества (http://сайт).