Положение о защите персональных данных
Приложение №1 к Приказу № 1 от 11.01.2017 г.
председателя правления СНТ «Аксаец» Христиной Н.Б.
Положение
о защите персональных данных
в СНТ «Аксаец»
1. Общие положения
1.1. Настоящее положение является локальным правовым актом СНТ «Аксаец», являющимся оператором персональных данных.
1.2. Настоящее положение устанавливает порядок осуществления операций с персональными данными сотрудников предприятия, владельцев садовых участков СНТ, а также лиц, заключивших с СНТ «Аксаец» гражданско-правовые договоры.
1.3. Настоящее положение разработано в целях:
- регламентации порядка осуществления операций с персональными данными;
- обеспечения требований закона № 152-ФЗ, главы 14 Трудового кодекса Российской Федерации и иных правовых актов, регулирующих использование персональных данных;
- установления прав и обязанностей сотрудников СНТ «Аксаец» в части работы с персональными данными;
- установления механизмов ответственности сотрудников предприятия за нарушение локальных норм, а также положений федерального, регионального и муниципального законодательства, регулирующих использование персональных данных.
1.4. Настоящее положение вступает в силу в момент его утверждения отдельным приказом председателя правления СНТ «Аксаец» и действует бессрочно до замены новым локальным правовым актом аналогичного назначения.
1.5. Корректировка настоящего положения осуществляется отдельными приказами председателя правления СНТ «Аксаец».
1.6. Все сотрудники СНТ «Аксаец» ознакамливаются с настоящим положением в специальном журнале учета под роспись. Все владельцы участков и иные лица ознакамливаются с настоящим положением в правлении или на сайте СНТ «Аксаец».
1.7. Ограничение несанкционированного доступа к персональным данным обеспечивается СНТ «Аксаец» и снимается в момент их обезличивания, а также по истечении 75 лет их хранения, если иное не установлено законом или решением руководства предприятия.
1.8. Основным инфраструктурным ресурсом СНТ «Аксаец» для осуществления операций с персональными данными являются информационные системы, представляющие собой:
- комплексы автоматизированной обработки персональных данных (позволяющих осуществлять операции с персональными данными в виде файлов, доступ к которым регулируется в соответствии с положениями локальных правовых актов предприятия, федеральных, региональных и муниципальных НПА);
- документацию на бумажных носителях (доступ к которым также осуществляется в соответствии с положениями локальных правовых актов и законодательства РФ).
2. Критерии отнесения информации о работниках к персональным данным
2.1. Настоящее положение устанавливает, что к персональным данным относятся любая информация о субъекте персональных данных, в том числе: фамилия, имя, отчество; год, месяц, дата рождения; место рождения; пол; гражданство; паспортные данные; номер страхового свидетельства государственного пенсионного страхования; индивидуальный номер налогоплательщика (ИНН) при его наличии; сведения о составе семьи; сведения о наличии детей; сведения о состоянии в браке; сведения о перемене имени; адрес регистрации; место фактического жительства; контактный телефон; e-mailпри наличии, сведения о знании иностранного языка; сведения о наградах/поощрениях; сведения о трудовой деятельности; сведения о доходах в целях осуществления вычетов, удержаний и выплаты заработной платы; коды категорий налогообложения; сведения о постановке на воинский учет; образование, специальность; наличие льгот; сведения о состоянии здоровья; членство в общественных организациях.
2.3. Достоверность персональных данных СНТ «Аксаец» определяется исходя из их изначального размещения в таких документах как:
· паспорт или иной источник, удостоверяющий личность;
· трудовая книжка (за исключением тех случаев, когда СНТ «Аксаец» является для сотрудника первым работодателем, либо участвует в восстановлении утерянной трудкнижки);
· свидетельство пенсионного страхования;
· военный билет и иные документы воинского учета;
· диплом об образовании;
· свидетельство о наличии ИНН;
· Свидетельство о праве собственности;
· Свидетельство о рождении;
· Домовая книга;
· а также иные, установленные законодательством Российской Федерации, документы.
2.4. Бухгалтер СНТ «Аксаец» обеспечивает проверку вышеперечисленных документов, содержащих персональные данные, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.
3. Операции с персональными данными
3.1. Настоящее положение устанавливает, что СНТ «Аксаец» осуществляет следующие операции с персональными данными:
· получение;
· обработка;
· передача;
· блокирование;
· хранение;
· ликвидация.
3.2. Под получением персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах СНТ «Аксаец».
3.2. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом СНТ «Аксаец».
3.3. Под передачей персональных данных понимается операция:
· по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют сотрудники СНТ «Аксаец» либо третьи лица в целях выполнения обязанностей по осуществлению деятельности СНТ «Аксаец».;
· по размещению персональных данных в источниках внутреннего документооборота;
· по опубликованию в интересах предприятия персональных данных о работнике в СМИ или на серверах интернета в соответствии с нормами законодательства.
3.4. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах предприятия, в случаях, предусмотренных положениями локальных правовых актов СНТ «Аксаец» и законодательства РФ.
3.5. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах СНТ «Аксаец».
3.6. Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем О СНТ «Аксаец», а также обеспечению невозможности их восстановления.
4. Порядок осуществления операций с персональными данными
4.1. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от субъекта персональных данных. В случае, если предоставление соответствующих данных возможно только от третьих лиц, то субъект персональных данных должен дать письменное согласие на это.
4.2. Предприятие не имеет права требовать и получать персональные данные, отражающие личные аспекты жизни субъекта персональных данных, его религиозные, политические, философские взгляды.
4.3. Обработка персональных данных субъекта персональных данных может осуществляться только с его письменного согласия за исключением тех случаев, что предусмотрены подп. 2-11 п. 1 ст. 6 закона от 27.07.2006 «О персональных данных» № 152-ФЗ.
4.4. Передача персональных данных субъекта персональных данных осуществляется с учетом специфики конкретной информационной системы.
4.4.1. Если используется цифровая ИС (предназначенная для автоматизированной обработки персональных данных), то передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты.
4.4.2. Если используется ИС на основе бумажных носителей, то передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии сотрудников предприятия, имеющих доступ к соответствующей ИС, который устанавливается отдельным локальным правовым актом.
4.5. Блокирование персональных данных на предприятии осуществляется с учетом специфики конкретной ИС.
4.5.1. Если используется цифровая ИС, то блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты.
4.5.2. Если используется ИС на основе бумажных носителей, то блокирование данных осуществляется посредством закрытия доступа к соответствующей ИС для определенных сотрудников.
4.6. Хранение персональных данных осуществляется с учетом специфики конкретной ИС.
4.6.1. Если используется цифровая ИС, то хранение данных осуществляется на ПК СНТ «Аксаец».
4.6.2. Если используется ИС на основе бумажных носителей, то хранение данных осуществляется в архиве СНТ.
4.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной ИС.
4.7.1. Если используется цифровая ИС, то ликвидация данных осуществляется посредством их удаления с ПК СНТ «Аксаец».
4.7.2. Если используется ИС на основе бумажных носителей, то ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.
5. Организация доступа к персональным данным
5.1. Доступ к персональным данным субъектов СНТ «Аксаец», не требующий подтверждения и не подлежащий ограничению, имеют:
· председатель правления;
· членам правления;
· сотрудники СНТ «Аксаец».
5.2. Доступ к персональным данным субъектов СНТ «Аксаец» для иных лиц может быть разрешен только отдельным распоряжением председатель правления.
6. Обязанности сотрудников, имеющих доступ к персональным данным
6.1. Сотрудники СНТ «Аксаец» и другие лица, имеющие доступ к персональным данным, обязаны:
· осуществлять операции с персональными данными при соблюдении норм, установленных настоящим положением, а также федеральных, региональных и муниципальных НПА;
· информировать своего непосредственного руководителя и генерального директора предприятия о нештатных ситуациях, связанных с операциями с персональными данными;
· обеспечивать конфиденциальность операций с персональными данными;
· обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.
7. Права субъектов в части осуществления операций с персональными данными
7.1. Субъект, передавший предприятию свои персональные данные, имеет право:
· на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;
· на бесплатное получение копий файлов или бумажных носителей, содержащих его персональные данные;
· требовать от предприятия дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам субъекта, осуществляются незаконно, а также в случае, если персональные данные недостоверны;
· получать от предприятия информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;
· получать от СНТ «Аксаец» информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе предприятия.
7.2. Работники СНТ «Аксаец», имеющие доступ к персональным данным сотрудников предприятия, имеют право:
· на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;
· на получение консультационной поддержки со стороны руководства и других компетентных сотрудников в части осуществления операций с персональными данными;
· на отдачу распоряжений и направление предписаний сотрудникам, передающим персональными данные предприятию, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.
8. Ответственность сотрудников за нарушения правил осуществления операций с персональными данными
8.1. Сотрудники СНТ «Аксаец» при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим положением, а также нормами федерального, регионального и муниципального законодательства РФ.
8.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм СНТ «Аксаец», а также положений законодательства РФ.