Согласен на обработку персональных данных

1.      ОБЩИЕ ПОЛОЖЕНИЯ

1.1.Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации от 30.12.2001 № 197-ФЗ, Гражданским Кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», нормативно-методическими документами ФСТЭК России в сфере обработки персональных данных.

1.2. Положение определяет порядок и условия обработки персональных данных в АО «УЖХ Кировского района ГО г. Уфа РБ»(далее - «Организация») с использованием средств автоматизации и без использования таковых средств.

1.3. Цель разработки Положения об обработке персональных данных – определение порядка обработки персональных данных субъектов персональных данных, обеспечение защиты прав и свобод при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4.Обработка персональных данных в Организации осуществляется в целях:

- ведения кадровой работы (ведение и хранение личных дел, трудовых книжек),

- заключения трудовых и иных договоров, доп. соглашений к трудовым договорам;

- начисления и выплаты заработной платы работникам;

- обработки персональных данных в информационных системах (ИСПДн);

- оформления доверенностей;

- оформления документов по воинскому учету в военкоматах в установленном порядке, составления списков призывников для военкоматов;

- использования персональных данных для реализации права сотрудника на участие в деятельности первичной профсоюзной организации общества, в том числе при отчислении профсоюзных взносов;

- подготовки документов для прохождения обучения, аттестации, переквалификации;

- передачи в ИФНС, УПФ РФ, ФСС индивидуальных сведений о начисленных страховых взносов на обязательное пенсионное страхование и данных о трудовом стаже; ЦЗН.

 - исполнения обязательств по договорам;

1.5. В настоящем Положении используются следующие понятия, термины и сокращения:

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Организации.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Субъект (персональных данных) - физическое лицо, определяемое на основании персональных данных, обрабатываемых в Организации

1.6. Настоящее Положение и изменения к нему утверждаются директоромОрганизации.

1.7. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до замены его новым Положением.

1.8. Настоящее Положение является обязательным для исполнения всеми сотрудниками Организации, непосредственно осуществляющими обработку персональных данных и (или) имеющими доступ к персональным данным. Все сотрудники Организации должны быть ознакомлены с настоящим Положением и изменениями к нему под подпись.

2.      СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.      В Организации обрабатываются персональные данные следующих групп субъектов:

         сотрудников;

         физических лиц-жильцов;

         граждан Российской Федерации.

2.2.      В Организации к персональным данным сотрудников относятся следующие сведения:

         фамилия, имя, отчество;

         год, месяц, дата и место рождения;

         адрес проживания, регистрации;

         семейное, социальное, имущественное положение;

         сведения об образовании (наименования оконченных учебных заведений, факультет, специальность, год окончания, диплом №), информация о дополнительном образовании, повышении квалификации, аттестации;

         профессия;

         специальность;

         гражданство;

         дата рождения;

         паспортные данные;

         ИНН;

номер страхового свидетельства государственного пенсионного страхования;

пол;

                 общий и трудовой стаж;

         сведения о детях (количество, возраст);

         социальные льготы;

         сведения о воинском учете;

         контактные телефоны;

         данные об опыте работы (сведения о предыдущих местах работы, занимаемых должностях, выполняемых обязанностях, о периоде работы);

         уровень владения иностранными языками;

         профессиональные навыки;

         наименование структурного подразделения, наименование должности;

         сумма дохода;

         сумма вычета;

         номер лицевого счета;

         уровень владения иностранными языками;

         стаж работы;

         данные прежнего места работы (структурное подразделение)

         информация об аттестации (дата аттестации, решение комиссии, номер, дата протокола);

         информация о повышении квалификации (дата начала и окончания обучения, вид повышения квалификации, наименование образовательного учреждения, серия, №, дата выдачи документа об образовании);

         сведения о профессиональной переподготовке (дата начала и окончания обучения, специальность (направление, профессия), серия, номер, дата выдачи документа);

         информация о наградах (поощрениях), почетных званиях (наименование награды, номер и дата выдачи документа), размер вознаграждения;

         данные об отпусках (вид отпуска, период, дата начала и окончания отпуска);

         табель о явках и неявках на работу по числам месяца, количество неявок, причины неявок;

         количество отработанных часов за месяц, количество выходных и праздничных дней;

         сведения о социальных льготах, на которые сотрудник имеет право в соответствии с законодательством (наименование льготы, номер и дата выдачи документа);

         номер, дата трудового договора;

         испытательный срок;

         место назначения, дата начала и окончания, срок и цель командировки;

         сведения о наличии водительских прав(категория, стаж);

         серия и номер трудовой книжки или вкладыша в неё;

         основание прекращения (расторжения) трудового договора (увольнения), причина увольнения, дата увольнения, номер и дата приказа; а также дополнительную информацию в соответствии с требованиями ст. 65 Трудового кодекса РФ.

2.3.К документам (в бумажном и (или) электронном виде), содержащим персональные данные сотрудников Организации, относятся:

    паспорт или иной документ, удостоверяющий личность;

    свидетельство о постановке на учет в налоговом органе и присвоении ИНН;

    страховое пенсионное свидетельство;

    документ воинского учета;

    документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;

    документы, содержащие сведения о заработной плате, доплатах и надбавках;

     заявление о приеме на работу;

     трудовой договор;

     приказ (распоряжение) о приеме (форма Т-1, Т-1а);

     личная карточка сотрудника (форма Т-2);

     личное дело сотрудника;

     трудовая книжка;

    приказ (распоряжение) о переводе сотрудника на другую работу (форма Т-5,Т-5а);

    приказ (распоряжение) о предоставлении отпуска работнику (форма Т-6);

    график отпусков (форма Т-7);

    заявление об увольнении;

    приказ (распоряжение) о прекращении (расторжении) трудового договора с работником (увольнении) (форма Т-8, Т-8а);

    приказ (распоряжение) о направлении работника в командировку (форма Т-9, Т-9а);

    командировочное удостоверение (форма Т-10);

    служебное задание для направления в командировки и отчет о его выполнении (форма Т-10а);

    приказ (распоряжение) о поощрении (наказании) работника (форма Т-11,Т-11а);

    справка с места работы;

    справка о доходах физического лица Ф № 2-НДФЛ;

    список работников, подлежащих обязательному медицинскому страхованию и медосмотру;

    резюме.

2.4. В Организации к персональным данным физических лиц (Жильцов)относятся следующие сведения:

         фамилия, имя, отчество, пол; дата рождения;

         данные свидетельства о рождении;

         адрес проживания(прописки);

         дата регистрации и выписке;

         паспортные данные;

         лицевой счет;

         данные свидетельства о регистрации прав собственности.

2.5. К документам (в бумажном и (или) электронном виде), содержащим персональные данные физических лиц (Жильцов), относятся:

      извещение;

      выписка из лицевого счета

2.6. В Организации к персональным данным граждан РФ, обращающихся в Организацию, относятся следующие сведения:

         ФИО;

         почтовый адрес;

2.7. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан РФ, обращающихся вОрганизацию, относятся:

         изложение сути обращения.

3.      ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в Организации осуществляется на основе следующих принципов:

3.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

3.6. При обработке персональных данных в Организации обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Организация принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

3.7. Хранение персональных данных в Организации должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные в Организации подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.      ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. В целях обеспечения прав и свобод человека, и гражданина сотрудники Организации при обработке персональных данных работника обязаны соблюдать следующие общие требования:

       4.1.1. Обработка персональных данных в Организации осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, их обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности.

       4.1.2. При определении объема и содержания обрабатываемых персональных данных сотрудникиОрганизациидолжны руководствоваться Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации и иными федеральными законами.

       4.1.3.Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также сведений о членстве субъекта персональных данных в общественных объединениях, не допускается, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

       4.1.4.Обработка персональных данных в Организацииосуществляется только специально уполномоченными лицами, перечень которых утверждается внутренним приказом Организации, при этом указанные в приказе сотрудники должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения непосредственных должностных обязанностей.

       4.1.5.Использование персональных данных возможно только в соответствии с целями, определившими их получение. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда субъектам, затруднения реализации прав и свобод граждан Российской Федерации.

       4.1.6.При принятии решений, затрагивающих интересы субъекта, сотрудники Организации не имеют права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки.

4.2. Получение персональных данных.

     4.2.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку, при формировании обращения берез сайт http://www.ufakirovugh.ru/feedback/. Разместив «галочку» в форме обратной связи «согласен на обработку персональных данных», тем самым физическое лицо («житель») дает согласие на осуществление обработки персональных данных субъектов персональных данных в Организации.

    4.2.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Форма отзыва согласия на обработку персональных данных представлена в Приложении №2 к настоящему Положению.

    4.2.3. В случае получения персональных данных от третьего лица субъект, персональные данные которого были получены, должен быть уведомлен об этом. Форма уведомления представлена в Приложении №4 к настоящему Положению.

    4.2.4. Сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), и которые используются Организацией для установления личности субъекта персональных данных, могут обрабатываться в Организации только при наличии согласия субъекта.

   4.2.5. В случае смерти субъекта согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом при его жизни.

   4.2.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

4.3. Доступ к персональным данным.

     4.3.1. Перечень работников (фамилии, имена, отчества и должности), осуществляющих обработку персональных данных, как в бумажном, так и в электронном виде и (или) имеющих доступ к персональным данным, утверждается внутренним приказом Организации. При этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения непосредственных должностных обязанностей. Доступ к персональным данным сотрудников Организации, не входящих в вышеуказанный перечень, запрещается.

     4.3.2. Процедура оформления доступа к персональным данным включает в себя:

    ознакомление сотрудника с настоящим Положением, инструкцией пользователя ИСПДн и другими нормативными актами, регулирующими обработку и защиту персональных данных в Организации под подпись;

    подписание работником Соглашений о неразглашении персональных данных сотрудника. Форма о соблюдении конфиденциальности персональных данных представлена в Приложении № 6 к настоящему Положению.

     4.3.3. Выдача документов, содержащих персональные данные сотрудников, осуществляется в соответствии со ст. 62 Трудового кодекса РФ с соблюдением следующей процедуры:

         заявление сотрудника о выдаче того или иного документа на имя специалиста по кадрам;

        выдача заверенной копии (в количестве экземпляров, необходимом сотруднику) заявленного документа, либо справки о заявленном документе или сведениях, содержащихся в нем;

         внесения соответствующих записей в Журнал учета выданной информации.

       4.3.4. Всем сотрудникам Организации снимать какие-либо копии, делать выписки, изымать документы (либо их копии) из личного дела категорически запрещено.

4.4.Обеспечение конфиденциальности персональных данных

     4.4.1. Персональные данные относятся к категории конфиденциальной информации.

      4.4.2. Работниками Организации, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.

       4.4.3.Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (поручение Организации). Лицо, осуществляющее обработку персональных данных по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении Организации должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В случае, если Организация поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Организация. Во всех договорах с третьими лицами должно соблюдаться существенное условие обеспечения конфиденциальности.

       4.4.4.В целях информационного обеспечения деятельности структурных подразделений и сотрудников в Организации могут быть созданы общедоступные источники персональных данных (стенды, папки в кабинетах, информация на сайте, справочники, адресные книги и др.). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год и место рождения, абонентский номер, сведения о профессии и иные персональные данные. Сведения о работнике могут быть в любое время исключены из общедоступных источников персональных данных по требованию работника, суда или иных уполномоченных государственных органов.

4.5. Права и обязанности сторон при обработке персональных данных

       4.5.1. Работники Организации обязаны предоставлять в отдел кадров Организации только достоверные, документированные персональные данные и своевременно сообщать об изменении своих персональных данных.

       4.5.2.       Каждый субъект персональных данных имеет право:

        на получение полной информации о своих персональных данных и на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных действующим законодательством;

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

        подтверждение факта обработки персональных данных Организацией

        правовое основание и цели обработки персональных данных;

        цели и применяемые оператором способы обработки персональных данных;

        наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;

        обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

        сроки обработки персональных данных, в том числе сроки их хранения;

        порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

        информацию об осуществленной или о предполагаемой трансграничной передаче данных;

        наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;

        иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими федеральными законами;

        требовать от сотрудников Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

        заявить о своем несогласии при отказе работников Организации исключить или исправить персональные данные (в письменной форме с соответствующим обоснованием такого несогласия).

       4.5.3.       Организация обязана безвозмездно предоставить субъекту возможность ознакомления с персональными данными, относящимися к соответствующему субъекту, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Организацияобязана уведомить субъекта и третьих лиц, которым персональные данные этого субъекта были переданы. Форма уведомления представлена в Приложении № 4 к настоящему Положению.

       4.5.4.Все обращения сотрудников персональных данных по вопросам, касающимся обработки персональных данных, фиксируются в Журнале учета обращений субъектов персональных данных (сотрудников) по вопросам обработки персональных данных и для получения доступа к своим персональным данным.

Форма журнала представлена в Приложении № 8 к настоящему Положению.

Для регламентации порядка учета обращений граждан для получения доступа к своим персональным данным разработана Инструкция по учету обращений сотрудников для доступа к своим персональным данным, с которой ознакомляются все сотрудники Организации под роспись.

       4.6.2.В целях обеспечения контроля правомерности использования переданных по запросам персональных данных лицами, их получившими, сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также состав переданной информации фиксируются в Журнале учета передачи персональных данных. Форма журнала учета передачи персональных данных представлена в Приложении № 9 к настоящему Положению.

4.7. Хранение персональных данных.

       4.7.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей.

     В Организации хранение персональных данных субъектов может осуществляться на бумажных и электронных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.

       4.7.2.Все электронные носители персональных данных подлежат строгому учету. Форма Журнала учета электронных носителей приведена в Приложении 10 к настоящему Положению.

       4.7.3.Хранение персональных данных субъектов должно происходить в порядке, исключающем их утрату или их неправомерное использование.

       4.7.4.Персональные данные субъектов, содержащиеся на бумажных носителях и отчуждаемых электронных носителях информации, должны храниться в сейфах или запираемых шкафах, установленных в пределах контролируемой зоны Организации.

       4.7.5.Персональные данные субъектов, содержащиеся на электронных носителях информации, должны храниться на автоматизированных рабочих местах и серверах информационных систем персональных данных Организации, установленных в пределах контролируемой зоны Организации.

       4.7.6. Все меры, направленные на соблюдение конфиденциальности при сборе, обработке и хранении персональных данных субъекта, распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.8. Уничтожение персональных данных.

4.8.1.Обрабатываемые персональные данные должна уничтожить Организация (или обеспечить уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в следующих случаях:

        в случае достижения цели обработки персональных данных - в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных;

        в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;

        в случае выявления неправомерной обработки с персональными данными и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных.

       4.8.2.        После уничтожения персональных данных необходимо уведомить об этом субъекта персональных данных или его законного представителя. А в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. Форма уведомления представлена в Приложении № 6 к настоящему Положению.

       4.8.3. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

       4.8.4. В случае отсутствия возможности уничтожения персональных данных в течении, указанных выше сроков, Организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.

       4.8.5. Уничтожение персональных данных производится на основании Акта ликвидации персональных данных. Форма Акта ликвидации предусмотрена в Приложении № 7 к настоящему положению.

4.9.   Уточнение (обновление, изменение) персональных данных.

Исходя из того, что персональные данные содержатся во многих документах Организации, при уточнении (обновлении, изменении) персональных данных, изменения вносятся следующим образом:

         в личную карточку работника (ф. № Т2). В соответствии с п. 1 Указаний, утвержденных постановлением Госкомстата РФ от 05.01.2004 № 1, при изменении сведений о работнике в его личную карточку вносятся новые данные.

         в трудовую книжку. В соответствии с п. 2.3. Инструкции по заполнению трудовых книжек (утв. постановлением Минтруда России от 10.10.2003 № 69) изменения записей в трудовых книжках о фамилии, имени, отчестве и дате рождения производится на основании паспорта, свидетельства о рождении, о браке, о расторжении брака, об изменении фамилии, имени, отчества и других документов и со ссылкой на их реквизиты. Указанные изменения вносятся на первую страницу (титульный лист) трудовой книжки. Одной чертой зачеркиваются прежние фамилия, имя, отчество или дата рождения и записываются новые данные ссылки на соответствующие документы проставляются на внутренней стороне обложки трудовой книжки и заверяется подписью работодателя или специально уполномоченного им лица и печатью организации (или кадровой службы). Согласно п. 26 постановления Правительства от 16.04.2003 № 225 «О трудовых книжках» изменение записей о ФИО и дате рождения, а также об образовании, профессии и специальности работника производится работодателем по последнему месту работы на основании паспорта, свидетельств о рождении, о браке, о расторжении брака, об изменении ФИО и др. документов.

В случае изменения сведений, содержащих персональные данные (фамилия, имя, отчество, адрес, абонентский номер, паспортные данные, сведения об образовании, семейном положении (при выявлении противопоказаний для выполнения служебных обязанностей (работы), обусловленных трудовым договором (контрактом), работники обязаны своевременно сообщать о таких изменениях (как правило, в 3-х дневный срок) в отдел кадров Организации.

В целях уточнения (обновления, изменения) персональных данных и для внесения изменений в документы Организации, содержащие персональные данные работника, необходимо в произвольной форме составлять приказ об изменении персональных данных конкретного работника. На основании этого приказа будут вноситься изменения во все остальные соответствующие документы. Внесенные изменения необходимо заверить подписью ответственного работника и печатью Организации.

5.                  ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ.

5.1.Организации при обработке персональных данных обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

5.2.Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных, используемых в процессе деятельности Организации.

5.3. Основными организационными мерами по защите персональных данных в Организации являются:

        ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;

        строгое, избирательное и обоснованное распределение документов и информации между сотрудниками;

        рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

        обеспечение знания сотрудником требований нормативно-методических документов по защите информации и сохранении тайны;

        обеспечение наличия необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

        грамотная организация процесса уничтожения информации;

        организация регулярной воспитательной и разъяснительной работы с сотрудниками Организации по предупреждению утраты и утечки сведений при работе с конфиденциальными документами, содержащими персональные данные;

        разработка комплекта внутренних документов Организации, регламентирующих процессы обработки персональных данных.

5.4. В качестве дополнительных организационных мер защиты персональных данных в Организации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ к персональным данным с целью овладения ценными сведениями и их использования, а также их искажения, уничтожения, подмены, фальсификации содержания реквизитов документа и т.д.

     Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Организации: клиенты, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов, содержащих персональные данные.

      Для защиты персональных данных от несанкционированного доступа в Организации необходимо обеспечить:

        охрану в дневное время в помещении Организации (в контролируемую зону),

        постоянную работоспособность пожарной и охранной сигнализации.

5.5. В качестве технических мер защиты персональных данных в Организации должны применяться:

      антивирусная защита;

      межсетевые экраны;

      разграничение прав доступа (пароли);

      специализированные средства защиты информации от несанкционированного доступа.

5.6. В целях организации контроля за обеспечением безопасности персональных данных в Организации создана постоянно действующая Комиссия по обеспечению безопасности персональных данных.

          5.6.1.Постоянно действующая ЭК является совещательным органом при руководителе учреждения.

          5.6.2. Решения комиссии вступают в силу после их утверждения генеральным директором Организации.

5.7. Основные задачи Комиссии.

Основными задачами Комиссии являются:

          5.7.1.Организация и проведение экспертизы ценности документов на стадии делопроизводства при составлении номенклатуры дел и формировании дел.

          5.7.2.Организация и проведение экспертизы ценности документов на стадии подготовки их к архивному хранению.

          5.7.3.Организация и проведение отбора и подготовки документов к передаче на государственное хранение, в том числе научно-технической, аудиовизуальной и другой специальной документации.

          5.7.4.Организация и приведение документооборота в Организации в соответствии с актуальными требованиями законодательства «О персональных данных».

          5.7.5. Проведение классификации ИСПДн.

6.                  ВЗАИМОДЕЙСТВИЕ С КОНТРОЛЬНО-НАДЗОРНЫМИ ОРГАНАМИ

6.1. При поступлении запроса от уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) Организация обязана сообщить информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса

6.2. В случае выявления недостоверных персональных данных илинеправомерных действий с ними по запросу уполномоченного органа по защите прав субъектов персональных данных Организацияобязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся кэтому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных по запросу уполномоченного органа по защите прав субъектов персональных данных Организация обязанаосуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) с момента получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Организациина основании сведений, представленных уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) в течении семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой Организацией или лицом, действующим по поручению Организации, в срок, не превышающий трех рабочих дней с даты этого выявления, Организация обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Организации. В случае, если обеспечить правомерность обработки персональных данных невозможно, Организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Организация обязана уведомить по запросу Роскомнадзор.

6.3. При проведении контрольно-надзорных мероприятий за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, осуществляемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), представители вышеуказанных контрольно-надзорных органов не имеют права на ознакомление с персональными данными, обрабатываемыми в информационных системах персональных данных Организации.

6.4. При проведении контрольно-надзорных мероприятий в отношении Организации контрольно-надзорными органами, не осуществляющими контроль и надзор в сфере обработки персональных данных, представители вышеуказанных контрольно-надзорных органов имеют право на доступ к персональным данным только в сфере своей компетенции и в пределах своих полномочий в соответствии с законодательством Российской Федерации.

7.                                ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. В целях информационного обеспечения деятельности структурных подразделений и сотрудников Организации могут создаваться общедоступные источники персональных данных, такие, как официальный интернет-сайт Организации. С письменного согласия сотрудника его персональные данные могут быть включены в такие общедоступные базы.

7.2. Персональные данные сотрудника могут быть в любое время исключены из общедоступных источников персональных данных по его требованию либо по решению директора Организации, либо суда или иных уполномоченных государственных органов.

8.                                ОСОБЕННОСТИ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

8.1.Доступ со стороны третьих лиц к персональных данным осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью работника или других лиц, и иных случаев, установленных законодательством Российской Федерации.

8.2.Организацияобязана сообщать персональные данные по надлежаще оформленным запросам суда, прокуратуры и правоохранительных органов.

8.3.При передаче персональных данных Организация соблюдает следующие условия:

        не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации;

    не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

    предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

    осуществлять передачу персональных данных субъектов в пределах и за пределы Организации в соответствии с настоящим Положением;

    разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции;

    передавать персональные данные представителям субъекта в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

8.4.Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее поручение Организации). Лицо, осуществляющее обработку персональных данных по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных. В поручении Организациидолжны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9.                                ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

9.1.Каждый сотрудник Организации, получающий доступ к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за сохранность носителя и конфиденциальность информации.

9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами и полную материальную ответственность в случае причинения их действиями ущерба в соответствии с п.7 ст. 243 Трудового кодекса Российской Федерации.

9.3. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Законом, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

ПРИЛОЖЕНИЕ 2

к Положению об обработке ПДн

в АО «УЖХ Кировского района ГО г. Уфа РБ

Форма – образец

Генеральному директору

в АО «УЖХ Кировского района ГО г. Уфа РБ

РБ, г. Уфа, ул. Пушкина, д. 85 __________________________________

(Ф.И.О. субъекта персональных данных) проживающего по адресу:____________

__________________________________

паспорт серии ______№______________

выдан_____________________________

заявление.

Прошу Вас прекратить обработку моих персональных данных в связи с _______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

(указать причину)

_____________________________                                                              __________________

(фамилия, инициалы)                                                                                             (подпись)

«____» _____________20__ г