Положение ООО «РКЦ г. Томска» по обработке персональных данных (Положение по обработке ПДн)
Положение по обработке персональных данных субъектов
Редакция документа: 1.3, от 8 апреля 2018
Общие положения
Положение по обработке персональных данных (далее — Положение) создано для:
- исполнения требований Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года (далее — Закон);
- обеспечения прав и свобод субъекта персональных данных, возникающих при обработке его данных.
Цель положения — определение порядка обработки персональных данных и обеспечения их безопасности.
Субъект персональных данных — физическое лицо, предоставляющее свои персональные данные оператору. К субъектам в данном положении относятся:
- физические лица, которым оказываются услуги;
- сотрудники.
Оператор (организация) — юридическое лицо, организующее и осуществляющее обработку персональных данных субъектов, а также определяющее цели и содержание обработки персональных данных.
Оператор — унитарное муниципальное предприятие «Расчетно-кассовый центр г. Томска», ООО «РКЦ г. Томска».
Положение утверждается директором ООО «РКЦ г. Томска» и является обязательной для исполнения всеми, кто осуществляет обработку персональных данных.
Организация при обращении любого субъекта предоставляет ему для ознакомления данное Положение.
Ответственное лицо организации осуществляет внутренний контроль за соблюдением требований данного Положения.
Изменения в Положение вносятся по мере необходимости.
В случае изменения сведений, указанных в реестре операторов персональных данных и при прекращении обработки персональных данных, ответственный за обработку персональных данных письменно уведомляет об этом уполномоченный орган в течение 7 (семи) рабочих дней с даты такого события.
Сбор персональных данных
Персональные данные, которые оператор собирает и обрабатывает, перечислены в «Перечне обрабатываемых персональных данных».
Такие данные организация может получать:
- лично от субъекта;
- от третьих лиц;
- из общедоступных источников.
При сборе персональных данных оператор действует в собственных интересах для достижения уставных целей деятельности.
Получение персональных данных от третьих лиц (управляющая организация, ресурсоснабжающая организация, представитель при непосредственной форме управления) осуществляется на основании заключённого договора между сторонами, и при подтверждении полномочий данных организаций оказывать услуги населению.
Согласие физического лица, которому предоставляются услуги, не требуется, в виду того, что передача персональных данных на обработку ведётся с целью выполнения договора между субъектом и управляющей организацией, по которому субъект может являться выгодоприобретателем или поручителем.
При необходимости, субъект персональных данных или его представитель даёт своё согласие на обработку в любой позволяющей подтвердить факт его получения форме.
Организация не осуществляет сбор и обработку данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных.
При получении персональных данных от третьих лиц, организация проверяет наличие оснований обработки персональных данных. Организация не предоставляет субъекту информацию, предусмотренную Законом, в случае получения персональных данных от третьих лиц, так как субъект уведомлен об обработке его персональных данных.
От имени субъекта может выступать его представитель, полномочия которого определяет субъект. Оператор обязан проверить полномочия представителя.
Предоставление персональных данных
Персональные данные являются конфиденциальной информацией, в соответствии с Законом.
Доступ к данным субъектов должен быть ограничен и регламентирован. Объем предоставляемых данных должен быть минимально достаточным для решения заявленных целей.
Персональные данные субъекта могут передаваться другим лицам:
- если субъект дал письменное согласие на передачу;
- если организация обязана, либо имеет право, передавать персональные данные субъекта в соответствии с законодательством РФ.
При получении надлежащим образом оформленного и мотивированного запроса, в случаях, предусмотренных законом, организация предоставляет необходимую информацию.
Письменные запросы, первоначально обрабатываются и регистрируются, как и прочая входящая корреспонденция. После этого документ передается ответственному за обработку персональных данных.
При устном обращении субъект персональных данных (его представитель) предъявляет документ, удостоверяющий личность.
Субъект имеет право на доступ к своим персональным данным, информации об организации и информации, касающейся обработки его персональных данных.
Действия на основании запроса субъекта персональных данных должны быть обоснованы и осуществляться в установленный законодательством срок.
Между Организацией и управляющей организацией, ресурсоснабжающей организацией, представителем (при непосредственной форме управления) происходит обмен персональными данными в пределах, установленных договорными отношениями.
Обработка персональных данных
Организация осуществляет обработку персональных данных:
- пока не достигнута цель обработки;
- пока не отозвано согласие субъекта.
Субъект персональных данных вправе требовать от организации уточнения, блокирования или уничтожения его персональных данных.
В случае выявления неправомерной обработки персональных данных, выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по запросу уполномоченного органа по защите прав субъектов персональных данных организация блокирует неправомерно обрабатываемые, неточные персональные данные.
При подтверждении факта неточности организация уточняет персональные данные и снимает блокирование.
Организация уничтожает персональные данные субъекта:
- если невозможно обеспечить правомерность обработки персональных данных при выявлении их неправомерной обработки;
- в случае достижения цели обработки;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
- если сохранение персональных данных более для целей обработки не требуется.
При выявлении неправомерных действий с персональными данными организация устраняет допущенные нарушения и уведомляет субъекта персональных данных об устранении допущенных нарушений.
Организация в случае отзыва согласия на обработку персональных данных вправе продолжить такую обработку в срок, установленный в перечне обрабатываемых персональных данных.
Места хранения персональных данных определены в «Перечне мест хранения персональных данных».
Субъект персональных данных имеет право на обжалование действий или бездействия оператора в порядке, установленном действующим законодательством.
Уничтожение персональных данных
Персональные данные могут быть уничтожены в случаях:
- при достижении целей обработки или крайних сроков хранения;
- при получении соответствующего запроса.
Уничтожение может производиться при наличии запроса, прошедшего соответствующую процедуру проверки. При этом субъект персональных данных (или его представитель) уведомляется в письменной форме об уничтожении персональных данных.
Внесение изменений и уничтожение архивных данных не допускается.
Сбор и подготовка сведений, и документов на уничтожение производится по всем информационным ресурсам.
В случае отзыва согласия на обработку персональных данных осуществляется блокировка таких персональных данных во всех информационных ресурсах, после чего персональные данные уничтожаются в течение 30 дней с даты поступления указанного отзыва.
Персональные данные подлежат уничтожению по истечении срока хранения, установленного Перечнем персональных данных. Ежегодно в декабре месяце проводится проверка информационных ресурсов персональных данных. В случае если срок хранения персональных данных истёк, они подлежат уничтожению.
Процесс уничтожения данных должен быть необратимым и соответствующим ценности документа. Факт уничтожения персональных данных подтверждается соответствующим актом.
Внутренний контроль порядка обработки персональных данных
Внутренний контроль проводится с целью проверки соответствия фактического порядка обработки и защиты персональных данных требованиям законодательства, Политики, данного Положения и других локальных нормативных актов организации.
Внутренний контроль осуществляет лицо, ответственное за организацию обработки персональных данных. Проверка проводится на основании приказа директора.
Периодичность проведения внутреннего контроля — один раз в год.
Срок проведения проверки не может превышать десяти рабочих дней.
В процессе проверки исполнитель имеет право:
- доступа ко всем информационным ресурсам и местам хранения персональных данных;
- ознакомления с локальными актами по вопросам обработки персональных данных, а также журналами регистрации запросов, уничтожения персональных данных;
- получать объяснения от лиц, имеющих доступ к персональным данным и(или) осуществляющих их обработку.
- проверять знания по вопросам обработки персональных данных и их защите.
Ответственное лицо обязано:
- проводить проверку в отношении всех информационных ресурсов персональных данных;
- разрабатывать рекомендации по устранению нарушений, выявленных в процессе проверки;
- отчитываться директору о результатах внутреннего контроля.
Особенности обработки персональных данных работников организации
С целью исполнения трудового договора согласие работника на обработку персональных данных не требуется.
В основном, передача персональных данных осуществляется в налоговую инспекцию, пенсионный фонд и фонд социального страхования. Согласие работника на передачу таких персональных данных не требуется.
Для передачи персональных данных работника третьим лицам (банки, гостиницы, билетные кассы), необходимых для исполнения служебных обязанностей, работник оформляет согласие на передачу в виде письменного заявления с указанием целей передачи и лиц/организаций, которым персональные данные будут переданы.
Организация не собирает и не обрабатывает персональные данные работника специальной категории, биометрические, касающиеся его членства в общественных объединениях и его профсоюзной деятельности.
Все персональные данные работника организация получает у него самого. Если персональные данные работника возможно получить только у третьей стороны, то организация уведомляет его об этом заранее и получает от него письменное согласие.
Работник имеет право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных Законом.
Работник имеет право на определение своих представителей для защиты своих персональных данных.
Помимо прав, предусмотренных данным Положением, работник так же имеет право на доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору.
Работник имеет право на извещение третьих лиц, которым были сообщены неверные или неполные персональные данные, обо всех произведённых изменениях.
Организация не сообщает персональные данные работника в коммерческих целях без его письменного согласия.
При отказе организации исключить или исправить персональные данные работника, он имеет право заявить о своём несогласии в письменной форме с обоснованием такого несогласия.
Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, либо в случаях, установленных законодательством, производится без дополнительного согласия данных субъектов персональных данных.
Сбор и обработка персональных данных, касающихся состояния здоровья работника, осуществляется организацией в соответствии с трудовым законодательством, законодательством о пенсиях по государственному пенсионному обеспечению, об обязательных видах страхования, страховым законодательством.
Все работники и их представители должны быть ознакомлены под роспись с данным Положением.
Обработка персональных данных уволенных работников ведётся в сроки, установленные законодательствам об архивном деле, при этом организация соблюдает нормы трудового законодательства и данного Положения.
Особенности обработки персональных данных соискателей
Направляя свое резюме в адрес организации, соискатель даёт свое согласие на обработку всех указанных в резюме персональных данных.
Соискатель может отозвать согласие на обработку персональных данных, направив соответствующий запрос в адрес организации.
Организация не проверяет достоверность сведений, предоставленных соискателем в резюме, и исходит из того, что соискатель в своем интересе предоставляет достоверную и достаточную информацию.
Персональные данные соискателя не передаются третьим лицам.
Резюме может быть дополнено сведениями, полученными из общедоступных источников, от третьих лиц (указанных в резюме) и от соискателя (в устной или письменной форме).
Безопасность персональных данных
Организация принимает меры, необходимые и достаточные для обеспечения безопасности персональных данных. В частности:
- доступ к персональным данным предоставляется ограниченному кругу лиц и в соответствии с правилами доступа;
- реализованы меры физической безопасности, предотвращающие несанкционированный доступ посторонних лиц;
- антивирусная защита — предотвращающая блокирование или распространение персональных данных;
- учёт и особое хранение съёмных носителей информации;
- регистрация действий пользователей;
- резервирование технических средств, а также программного обеспечения и самих персональных данных;
- определены угрозы безопасности персональных данных при их обработке в информационной системе персональных данных;
- проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- проводится мониторинг с целью обнаружения фактов несанкционированного доступа к персональным данным и принятием необходимых мер;
- проводится периодический контроль принятых мер, уровня защищенности информационной системы персональных данных и по результатам анализа принимаются дополнительные меры защиты;
- организован режим обеспечения безопасности помещений, в которых размещена информационная система.
Перечень мер по обеспечению безопасности персональных данных, обрабатываемых без использования средств автоматизации, установлен в Правилах обработки персональных данных, осуществляемой без использования средств автоматизации.
Субъект имеет право на защиту своих данных.
Организация обеспечивает хранение персональных данных в базах данных, находящихся на территории Российской Федерации.
Ответственность за нарушение данного Положения
Организация проводит оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения Закона.
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, установленных действующим законодательством Российской Федерации и настоящим Положением, несут ответственность, предусмотренную законодательством Российской Федерации.
Контактная информация оператора
Наименование: Унитарное муниципальное предприятие «Расчетно-кассовый центр г. Томска» (ООО «РКЦ г. Томска»), ИНН: 7021001784.
Почтовый адрес: 634061, Томская обл., г. Томск, ул. Герцена, д. 52 А.
Тел., факс: 90-88-70.
Регистрационный номер реестра операторов персональных данных: 08-0006219.
|