Положение о работе с персональными данными
Благотворительный фонд культурных инициатив Олега Митяева
(Фонд Олега Митяева)
УТВЕРЖДАЮ
Председатель правления Фонда Олега Митяева
Е.Д. Гришина
12.12.2016
ПОЛОЖЕНИЕ
О работе с персональными данными
12.12.2016 № 1-П г. Челябинск
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение о работе с персональными данными субъектов Фонда Олега Митяева (далее – Положение) является локальным нормативным актом Фонда Олега Митяева. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом № 152-ФЗ от 27 июля 2006 г., Положением, утв. Постановлением Правительства РФ № 687 от 15 сентября 2008 г., Требованиями, утв. Постановлением Правительства РФ № 1119 от 1 ноября 2012 г., и другими нормативными правовыми актами.
1.2. Цель настоящего Положения – обеспечение законных прав и интересов Фонда Олега Митяева и его субъектов в связи с необходимостью получения, систематизации, хранения, использования и передачи сведений, являющихся персональными данными.
- ОСНОВЫЕ ПОНЯТИЯ. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
2.1. Основные понятия:
2.1.1. Субъекты персональных данных: физические лица, состоящие в договорных отношениях с Фондом Олега Митяева; сотрудники Фонда Олега Митяева, с которыми заключены трудовые договоры; граждане, обратившиеся в Фонд Олега Митяева с жалобами, заявлениями; граждане, направившие резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей; граждане, принимающие участие в публичных благотворительных проектах Фонда Олега Митяева; дети, участвующие в программах дополнительного образования и общественных проектах, осуществляемых за счет средств целевого финансирования Фонда Олега Митяева; добровольцы.
2.1.2. Персональные данные субъекта персональных данных – любые данные, касающиеся конкретного субъекта персональных данных.
2.1.3. Обработка персональных данных субъекта – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными субъекта, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.3. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.1.4. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.5. Использование персональных данных – действия (операции) с персональными данными, совершаемые лицом, получившим доступ к персональным данным, в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта – источника персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта или других лиц.
2.1.6. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
2.1.7. Конфиденциальность персональных данных – обязательное для соблюдения получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.1.8. Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2.2. Состав персональных данных субъекта:
– фамилия, имя, отчество (при наличии);
– дата и место рождения;
– адрес проживания (регистрации), телефон;
– семейное, социальное, имущественное положение;
– образование и профессия;
– доходы, его имущество и имущественные обязательства;
- наличие судимостей;
- специальные категории персональных данных (расовая, национальная принадлежность, состояние здоровья только в части подтверждения социально незащищенной категории граждан);
- биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основании, которых можно установить его личность – фото, видео и т.д.)
– другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
2.3. Примерный перечень документов, содержащих персональные данные субъектов Фонда Олега Митяева:
– комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплекс документов, сопровождающих процесс оформления договорных отношений при выполнении работ, оказании услуг;
– комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
– подлинники и копии приказов (распоряжений) по кадрам;
– личные карточки, личные дела и трудовые книжки, журналы учета трудовых книжек;
– должностные инструкции (инструкции по профессии) работников;
– материалы по учету рабочего времени;
– дела, содержащие документы-основания к приказам по личному составу;
– дела, содержащие материалы аттестаций работников;
– дела, содержащие материалы внутренних расследований;
– справочно-информационный банк данных по персоналу (картотеки, журналы);
– подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Фонда Олега Митяева;
– подлинники и копии отчетов, направляемых в государственные органы статистики, налоговые инспекции и другие учреждения.
- ПОРЯДОК ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Лицо, ответственное за получение персональных данных, назначается приказом председателя правления Фонда Олега Митяева.
3.2. Все персональные данные субъекта ответственное лицо получает непосредственно от самого субъекта, за исключением случаев, предусмотренных п. 3.5 настоящего Положения.
3.3. Ответственное лицо истребует у субъекта сведения, содержащие персональные данные, по мере необходимости. Субъект предоставляет требуемые сведения, а также предъявляет документы, подтверждающие достоверность этих сведений.
3.4. Ответственное лицо не имеет права получать персональные данные субъекта, если они касаются политических взглядов, религиозных или философских убеждений, интимной жизни, его членства в общественных объединениях или его профсоюзной деятельности.
3.5. Если персональные данные субъекта возможно получить только у третьей стороны, ответственное лицо уведомляет об этом субъект заранее. В уведомлении должны содержаться цели, предполагаемые источники и способы получения персональных данных, характер подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение. Только после получения от субъекта письменного согласия ответственное лицо направляет третьей стороне соответствующий запрос и получает необходимые данные.
3.6. При изменении персональных данных субъект письменно уведомляет ответственное лицо о таких изменениях в разумный срок, не превышающий 14 дней.
- ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Лица, ответственные за обработку персональных данных, назначаются приказом председателя правления Фонда Олега Митяева.
4.2. Обработка персональных данных субъекта может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъекту в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Обработка персональных данных субъектов Фонда Олега Митяева возможна только с их согласия либо без их согласия в следующих случаях:
– персональные данные являются общедоступными;
– персональные данные относятся к состоянию здоровья субъекта, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта невозможно;
– по требованию полномочных государственных органов – в случаях, предусмотренных федеральным законом.
Фонд Олега Митяева вправе обрабатывать персональные данные субъектов только с их письменного согласия.
Письменное согласие субъекта на обработку своих персональных данных должно включать в себя:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие субъекта не требуется в следующих случаях:
– обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
– обработка персональных данных осуществляется в целях исполнения трудового договора;
– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
4.3. При обработке персональных данных Фонд Олега Митяева руководствуется следующими принципами:
1) обработка должна осуществляться на законной и справедливой основе;
2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только те персональные данные, которые отвечают целям обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;
6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях – актуальность по отношению к целям обработки. Фонд Олега Митяева должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
7) форма хранения персональных данных должна позволять определять субъект этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.4. При получении персональных данных у третьей стороны ответственное лицо до начала обработки таких персональных данных обязан предоставить субъекту следующую информацию:
– фамилию, имя, отчество оператора;
– цель обработки персональных данных и ее правовое основание;
– предполагаемые пользователи персональных данных;
– установленные законодательством права субъекта.
4.5. При обработке персональных данных субъекта Фонд Олега Митяева применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона № 152-ФЗ от 27 июля 2006 г., Требованиями, утв. Постановлением Правительства РФ № 1119 от 1 ноября 2012 г. и другими нормативными и методическими документами, регламентирующими порядок обработки персональных данных.
При обработке персональных данных ответственное лицо обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
4.6. При обработке персональных данных ответственное лицо должно обеспечивать их конфиденциальность. Обеспечение конфиденциальности персональных данных не требуется:
– в случае обезличивания персональных данных;
– в отношении общедоступных персональных данных.
4.7. В случае выявления неправомерных действий с персональными данными субъекта:
– субъект или его представитель (в т. ч. уполномоченный орган по защите прав) обращается к председателю правления Фонда Олега Митяева с заявлением;
–председатель правления Фонда Олега Митяева издает распоряжение о блокировании персональных данных, относящихся к соответствующему субъекту, с момента такого обращения или получения такого запроса на период проверки и назначает ответственного за проведение служебного расследования;
– если в ходе служебного расследования подтвердился факт использования недостоверных персональных данных, то ответственное лицо обязано уточнить персональные данные, внести соответствующие изменения и поправки в документы и снять их блокирование;
– если в ходе служебного расследования выявлен факт неправомерных действий с персональными данными, то ответственное лицо, допустившее подобные действия, в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. Об устранении допущенных нарушений ответственное лицо обязано уведомить субъект.
4.8. Персональные данные субъектов могут быть получены и проходить дальнейшую обработку как на бумажных носителях, так и в электронном виде (посредством использования информационных систем).
- ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ДОПУСК К НИМ
5.1. При передаче персональных данных субъекта Фонда Олега Митяева нужно соблюдать следующие требования:
– не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных федеральными законами;
– не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
– предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, должны быть осведомлены о том, что они обязаны соблюдать режим секретности (конфиденциальности) в отношении переданных им персональных данных;
– передавать персональные данные субъекта представителям субъекта в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
5.2. Внутренний доступ к персональным данным имеют:
– руководство Фонда Олега Митяева;
- главный бухгалтер – к тем данным, которые необходимы для выполнения конкретных функций;
– непосредственные руководители субъектов – к тем данным, которые необходимы для выполнения конкретных функций;
– субъекты персональных данных.
- другие лица, имеющие доступ к персональным данным субъектов на основании приказа председателя правления Фонда Олега Митяева.
5.3. Субъект, который является носителем персональных данных, имеет право:
– на полную информацию о своих персональных данных и их обработке;
– свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта;
– требование об исключении или исправлении неверных или неполных персональных данных, а также данных, подвергшихся обработке с нарушением законодательства, согласно п. 4.7 Положения.
5.4. Внешний доступ к персональным данным имеют:
– налоговые инспекции;
– правоохранительные органы;
– органы статистики;
– страховые агентства;
– военкоматы;
– органы социального страхования;
– пенсионные фонды;
– подразделения муниципальных органов управления.
5.5. Сведения о работающем субъекте или уже уволенном могут быть предоставлены другой организации только при наличии письменного запроса на бланке организации с приложением копии заявления субъекта о согласии предоставить персональные данные.
5.6. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта. В случае развода бывшая супруга (супруг) имеет право обратиться в Фонд Олега Митяева с письменным запросом о размере зарплаты субъекта. Информация о размере зарплаты в этом случае предоставляется при условии, что субъект дал работодателю письменное согласие на передачу его персональных данных (в т. ч. сведений о размере зарплаты) третьей стороне.
- ПОРЯДОК ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена Фондом Олега Митяева за счет его средств.
6.2. Персональные данные на бумажных носителях хранятся в помещении, запирающемся на ключ.
6.3. Документы, находящиеся в работе и которые содержат персональные данные, могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающееся помещение.
6.4. Документы соискателей, которые не были приняты на работу, сшиваются по месяцам и по профилям специалистов и хранятся в запирающемся помещении в течение шести месяцев. Далее документы подлежат уничтожению.
6.5. Персональные данные на электронных носителях должны быть защищены паролем доступа. Доступ к электронным базам данных, содержащим персональные данные, осуществляется только посредством использования индивидуальных паролей. Должны быть предприняты меры по защите от вредоносных программ (вирусов) (антивирусная защита) машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные.
6.6. При принятии решений, затрагивающих интересы субъекта, Фонд Олега Митяева не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
6.7. Копировать и делать выписки из персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения председателя правления Фонда Олега Митяева или главного бухгалтера.
- ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Если субъект считает, что должностное лицо Фонда Олега Митяева осуществляет обработку его персональных данных с нарушением требований настоящего Положения или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие должностных лиц Фонда Олега Митяева в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.2. Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
- ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Настоящее Положение и изменения к нему утверждаются председателем правления Фонда Олега Митяева и вводятся приказом.
8.2. Все субъекты должны быть ознакомлены с текстом настоящего Положения и изменениями к нему под подпись.
8.3. Контроль за исполнением настоящего Положения возлагается на главного бухгалтера Фонда Олега Митяева.
Положение составил:
Главный бухгалтер Т.А. Ермакова
12.12.2016