УТВЕРЖДЕНО:
Приказ № 16 от 03.02.2023 г.
"О включении Рязанского областного союза
организаций профсоюзов в реестр операторов,
осуществляющих обработку персональных данных "
Регистрационный номер - 62-23-005151,
постановление Председателя Профобъединения
№ 10 от «27» января 2023 года
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В РЯЗАНСКОМ ОБЛАСТНОМ СОЮЗЕ ОРГАНИЗАЦИЙ ПРОФСОЮЗОВ (ПРОФОБЪЕДИНЕНИЕ)
1. Общие положения
1.1. Политика обработки персональных данных в Рязанском областном союзе организаций профсоюзов (далее – Политика), определяет оснвные принципы, цели, условия и порядок обработки персональных данных, категории субъектов, обрабатываемых в Профобъединении персональных данных, функции Профобъединения при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Профобъединении требования к защите персональных данных.
1.2. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных работников Профобъединения и других субъектов персональных данных.
1.3. Контроль за исполнением требований Политики осуществляется уполномоченными лицами, ответственными за организацию обработки персональных данных.
1.4. Оператором в соответствии со статьей 3 Федерального закона «О персональных данных» является Рязанский областной союз организаций профсоюзов», находящийся по адресу: 390013, г. Рязань, Первомайский проспект, д.41.
2. Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика обработки персональных данных
2.1. Политика обработки персональных данных в Профобъединении определяется в соответствии с:
Трудовым кодексом Российской Федерации;
Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных);
Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
Указом Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказом Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Приказом Роскомнадзора от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения»;
Приказом Росархива от 20 декабря 2019 года № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти в области обработки и защиты персональных данных;
Положением о работе с обращениями граждан в ФНПР и ее членских организаций, утвержденным постановлением Исполнительного комитета ФНПР от 29 января 2008 № 1-17;
договорами, заключаемыми между Профобъединением и субъектами персональных данных;
соглашениями по информационному взаимодействию;
согласиями на обработку персональных данных;
соглашениями о конфиденциальности.
2.2. Обработка персональных данных осуществляется в целях:
выполнения функций, полномочий и обязанностей, возложенных на Профобъединение в соответствии с ее уставом;
обеспечения соблюдения федеральных законов и иных нормативных правовых актов Российской Федерации;
заключения и исполнения договоров в рамках трудовых, гражданско-правовых отношений.
3. Основные термины и определения, используемые в локальных нормативных актах Профобъединения, регламентирующих вопросы обработки персональных данных
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством Российской Федерации.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. Принципы и условия обработки персональных данных
4.1. Профобъединение, являясь оператором персональных данных, осуществляет обработку персональных данных работников Профобъединения и других субъектов персональных данных, не состоящих с Профобъединением в трудовых отношениях.
4.2. Обработка персональных данных в Профобъединении осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Профобъединения и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется в Профобъединении на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Профобъединением принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных, или неточных персональных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.3. Обработка персональных данных в Профобъединении осуществляется согласно следующих условий:
доступ к персональным данным имеют работники Профобъединения, которым это необходимо для исполнения должностных обязанностей;
перечень лиц, имеющих доступ к персональным данным, утверждается локальными нормативными актами;
помещения, в которых обрабатывается персональные данные, должны быть оборудованы в соответствии с требованиями законодательства Российской Федерации и обеспечивать необходимый уровень защищённости персональных данных, а также исключать риск несанкционированного доступа с целью хищения или неправомерного использования персональных данных;
для приёма посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным.
5. Категории субъектов, персональные данные которых обрабатываются
В Профобъединении обрабатываются персональные данные следующих категорий субъектов: работники и бывшие работники Профобъединения;
кандидаты на замещение вакантных должностей в Профобъединении;
делегаты Конференции Профобъединения, члены Совета, Президиума Профобъединения;
физические лица, являющиеся стороной гражданско-правовых договоров, или представителями/работниками юридических лиц – стороны гражданско-правовых договоров, заключаемых Профобъединением;
физические лица (их представители), обратившиеся в Профобъединение в письменной форме или форме электронного документа за консультацией, с предложением, заявлением, жалобой или иной помощью;
другие физические лица, необходимость обработки персональных данных которых обусловлена выполнением уставных целей и задач Профобъединения.
6. Права и обязанности
6.1. Обязанности оператора персональных данных:
организовать обработку персональных данных в соответствии с требованиями Федерального закона о персональных данных;
обеспечить защиту персональных данных от их неправомерного использования или утраты;
получать персональные данные только у субъектов персональных данных;
в случаях, когда персональные данные субъекта можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;
своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных и их законных представителей, а именно:
сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также представлять возможность ознакомления с этими персональными данными;
в случае отказа при обращении субъекта персональных данных или его представителя в представлении субъекту персональных данных его персональных данных или информации о наличии в Профобъединении его персональных данных давать в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона о персональных данных, являющееся основанием для такого отказа;
представлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них изменения для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым персональные данные этого субъекта были переданы;
устранять нарушения законодательства, допущенные при обработке персональных данных;
уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2 – 6 статьи 21 Федерального закона о персональных данных.
6.2. Права оператора персональных данных:
принимать локальные нормативные акты в развитие настоящей Политики;
предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;
отказывать в представлении персональных данных в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 Федерального закона о персональных данных;
привлекать к дисциплинарной ответственности работников, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.
6.3. Права субъекта персональных данных:
получать информацию, касающуюся обработки его персональных данных, в том числе и об источниках их получения;
требовать блокировки или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;
требовать оповещения всех лиц, которым ранее были сообщены недостоверные или неполные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие оператора персональных данных при обработке его персональных данных;
отзывать свое согласие на обработку персональных данных;
на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Порядок обработки персональных данных
7.1. Обработка персональных данных включает в себя следующие действия:
сбор;
хранение;
запись;
систематизацию;
накопление;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение персональных данных.
7.2 Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путём:
получения оригиналов необходимых документов;
копирования оригиналов документов;
внесения сведений в учетные формы на бумажных и электронных носителях;
формирования персональных данных в ходе кадровой работы;
внесения персональных данных в информационные системы.
7.3. Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных непосредственно от субъекта персональных данных.
7.4. Обработка персональных данных при рассмотрении обращений граждан, направленных в Профобъединение в письменной форме или в форме электронного документа, осуществляется в соответствии с законодательством о порядке обращений граждан Российской Федерации.
7.5. Профобъединение имеет право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные.
7.6. При передаче персональных данных субъекта персональных данных работники Профобъединения, осуществляющие обработку персональных данных, должны соблюдать следующие требования:
соблюдать режим конфиденциальности;
не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья субъекта персональных данных, а также в случаях, установленных Федеральным законом о персональных данных;
не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные субъектов персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено;
разрешать доступ к персональным данным субъекта персональных данных только лицам, определённым соответствующим локальным нормативным актом, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
7.7. Передача Профобъединением персональных данных третьим лицам может допускаться только в случаях, установленных Федеральным законом о персональных данных.
7.8. Профобъединение при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора инициирует блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки.
7.9. В случае выявления неправомерной обработки персональных данных, в срок, не превышающий трёх рабочих дней с даты этого выявления, в Профобъединении должна быть прекращена неправомерная обработка персональных данных.
7.10. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.
7.11. Уточнение персональных данных на основании сведений, представленных субъектом персональных данных или его представителем, осуществляется в течение семи рабочих дней со дня представления информации.
7.12. По достижении цели обработки персональных данных в Профобъединении обработка персональных данных прекращается, и эти персональные данные уничтожаются, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.13. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в Профобъединении обработка прекращается в срок, не превышающий тридцати дней с даты поступления отзыва.
7.14. При сборе, обработке и хранении персональных данных хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации осуществляется в порядке, исключающем их утрату или их неправомерное использование.
8. Защита персональных данных
8.1. При обработке персональных данных в Профобъединении принимаются необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокировки, копирования, представления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
9. Заключительные положения
9.1. Настоящая Политика является общедоступным документом Профобъединения, действие которого распространяется на отношения по обработке персональных данных, возникшие как до, так и после утверждения настоящей Политики и подлежат опубликованию на официальном сайте Профобъединения.
9.2 Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.
9.3. Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено федеральным законодательством.
9.4. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.
9.5. Правила обработки персональных данных на официальном сайте Профобъединения не должны противоречить настоящей Политике.