Положение о защите персональных данных в Саморегулируемой организации – межрегиональном отраслевом объединении работодателей «Союз проектировщиков инфокоммуникационных объектов «ПроектСвязьТелеком»

Подробности

Создано 17.12.2015 13:05

Скачать Положение с Приложениями

УТВЕРЖДЕНО
Советом СРО Союз «ПроектСвязьТелеком»
Протокол от 13.11.2019г. № 21-19

Приложение № 2

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Положение о защите персональных данных в Саморегулируемой организации – межрегиональном отраслевом объединении работодателей «Союз проектировщиков инфокоммуникационных объектов «ПроектСвязьТелеком» (далее по тексту Положение) определяет политику Союза в отношении обработки персональных данных, а также комплекс мер, направленных на обеспечение защиты персональных данных работников Исполнительного органа Саморегулируемой организации – межрегионального отраслевого объединения работодателей «Союз проектировщиков инфокоммуникационных объектов «ПроектСвязьТелеком» (далее по тексту Союз), членов иных созданных или учрежденных органов Союза и работников членов Союза от несанкционированного доступа к ним, неправомерного их использования или утраты, а также устанавливает ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.2. Настоящее Положение разработано на основе и в соответствии с требованиями Конституции Российской Федерации, Гражданского кодекса Российской Федерации от, Градостроительного кодекса Российской Федерации, Трудового кодекса Российской Федерации, Уголовного кодекса Российской Федерации, Кодекса об административных правонарушениях Российской Федерации, Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 г. N152-ФЗ «О персональных данных», Федерального закона Российской Федерации «О саморегулируемых организациях» от 01.12.2007г. N315-ФЗ, Устава и внутренних документов Союза.
1.3. Настоящее Положение является обязательным для исполнения всеми работниками Исполнительного органа, а также членами иных созданных или учрежденных органов Союза, имеющими доступ к персональным данным работников Исполнительного органа Союза, работников членов Союза и иных лиц (далее по тексту субъект или субъект персональных данных).
1.4. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПЕРЕЧЕНЬ ДОКУМЕНТОВ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

2.1. Персональные данные работника Исполнительного органа, а также члена иных созданных или учрежденных органов Союза – информация, касающаяся конкретного субъекта, необходимая Союзу иди членам Союза в связи с трудовыми отношениями или деятельностью Союза. Под информацией о субъекте понимаются сведения о фактах, событиях и обстоятельствах жизни субъекта, позволяющие идентифицировать его личность. Персональные данные работника члена Союза - информация, необходимая Союзу для обеспечения соблюдения членом Союза требований, установленных в Союзе в соответствии с действующим законодательством.
2.2. В состав персональных данных субъекта входят:
- анкетные и биографические данные;
- сведения о полученном образовании, повышении квалификации и аттестации;
- сведения о трудовом и общем стаже, опыте работы;
- сведения о семейном положении, составе семьи;
- паспортные данные, СНИЛС, ИНН;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения о социальных льготах;
- содержание трудового договора;
- декларируемые сведения о наличии материальных ценностей;
- специальность;
- занимаемая должность;
- наличие судимостей (дисквалификации);
- адрес места жительства;
- домашний, мобильный и иные телефоны работника;
- место работы или учебы членов семьи и родственников;
- данные о частной жизни и другие сведения.
2.3. Основными документами, в которых содержатся персональные данные субъектов, являются:
- паспорт субъекта (иной документ, удостоверяющий личность);
- анкеты;
- заявления;
- трудовая книжка, трудовой договор;
- подлинники и копии приказов по личному составу;
- страховое свидетельство государственного пенсионного страхования;
- свидетельство о присвоении ИНН;
- личные дела, личные карточки;
- основания к приказам по личному составу;
- документы работников о полученном образовании;
- дела, содержащие документы о повышении квалификации и переподготовке работников, их аттестации, служебных расследованиях, и др.;
- рекомендации, характеристики;
- материалы аттестационной комиссии;
- отчеты, аналитические и справочные материалы, декларации, передаваемые в государственные органы статистики, налоговую инспекцию, другие учреждения;
- документ об образовании, о квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки;
- документы воинского учета;
- документы о наличии судимости (дисквалификации);
- сведения медицинского характера;
- доверенности;
- другие документы, содержащие данные, необходимые работодателю в
связи с трудовыми отношениями.
- разрешение на работу для иностранных граждан;
- протоколы Общих собрания, заседаний Совета и специализированных органов Союза.
- другие документы, которые содержат данные, необходимые работодателю в связи с трудовыми отношениями.
2.4. Субъект персональных данных отвечает по закону за предоставление в Союз достоверных сведений о себе.
2.5. Документы с персональными данными являются конфиденциальными, в то же время, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

3. ПОРЯДОК ПОЛУЧЕНИЯ, ОБРАБОТКИ, ПЕРЕДАЧИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Под обработкой персональных данных субъекта понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта.
3.2. В целях обеспечения прав и свобод человека и гражданина Союз и его представители при обработке персональных данных субъекта обязаны соблюдать следующие общие требования:
3.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2. При определении объема и содержания обрабатываемых персональных данных Союз должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации и другими федеральными законами.
3.2.3. Союз вправе обрабатывать персональные данные только с письменного согласия субъектов персональных данных, которое должно включать в себя следующую информацию:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
3.2.4. Получение персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения их из иных источников, а также от членов Союза в целях осуществления уставной деятельности Союза.
3.2.5. Персональные данные субъекта следует получать у него самого, за исключением случаев, предусмотренных федеральным законом. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие, за исключением случаев, предусмотренных федеральным законом. Союз и (или) член Союза должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение, за исключением случаев, предусмотренных федеральным законом.
3.2.6. Союз не имеет право получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях, частной жизни, кроме случаев, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны Союзом только с его письменного согласия.
3.2.7. Союз не имеет право получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.3. К обработке персональных данных работников члена Союза могут иметь доступ работники Исполнительного органа в соответствии с должностными инструкциями, а также члены иных созданных или учрежденных Союзом органов. К обработке персональных данных работников Исполнительного органа, членов иных созданных или учрежденных Союзом органов могут иметь доступ специально уполномоченные работники в соответствии с должностными обязанностями.
3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение. Персональные данные не могут быть использованы Союзом в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено.
3.5. Передача (распространение, передача, доступ) персональных данных субъекта возможна только с его согласия и его волеизъявлением, или в случаях, прямо предусмотренных законодательством.
3.5.1. При передаче персональных данных субъекта Союз обязан соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности;
- разрешать доступ к персональным данным субъекта только специально уполномоченным лицам, определенным настоящим Положением, при этом указанные лица должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом трудовой функции;
- передавать персональные данные субъекта представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
3.6. Действие настоящего положения при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону, факсу или электронной почтой (в отсутствие электронного ключа).
3.8. При принятии решений, затрагивающих интересы субъекта, Союз не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения. Союз учитывает личные качества субъекта, его добросовестный и эффективный труд.
3.9. Юридическое лицо, являющееся членом Союза, обязано принять следующие меры в целях правомерной передачи данных о своих работниках Союзу:
- получить от каждого работника, данные которого планируются к передаче Союзу, письменное согласие работника или его законного представителя, действующего на основании нотариально заверенной доверенности, на обработку Союзом его персональных данных;
- принять все необходимые меры по защите персональных данных своих работников при передаче таких данных Союзу.
Заявления, содержащие согласие работников членов Союза, хранятся у члена Союза, предоставляющего персональные данные своих работников в Союз, а факт наличия согласия субъектов на передачу документов, содержащих их персональные данные, подтверждается гарантийным письмом руководителя члена Союза.
3.10. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
3.11. Порядок хранения документов Союза, содержащих персональные данные:
3.11.1. Документы, содержащие персональные данные работников Исполнительного органа, членов иных созданных или учрежденных Союзом органов хранятся в закрывающихся кабинетах Бухгалтерии и начальника Общего отдела. Архивные документы, содержащие персональные данные вышеперечисленных лиц, хранятся в закрывающихся металлических шкафах в Архиве Союза.
3.11.2. Персональные данные работников членов Союза хранятся в делах Экспертного отдела в металлических шкафах, установленных в Архиве Союза.
Персональные данные работников юридических лиц, непринятых в члены Союза, а также юридических лиц, исключенных из членов Союза, хранятся в архивных делах в закрывающихся металлических шкафах Архива Союза.
3.11.3. Офис Союза защищен средствами ограничения несанкционированного доступа в него посторонних лиц.
3.11.4. По окончании рабочего дня кабинеты закрываются, Архив опечатывается, а помещение офиса ставится на сигнализацию вневедомственной охраной арендодателя.

4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

4.1. Внутренний доступ (доступ внутри Союза). Право доступа к персональным данным субъектов Союза имеют:
- Исполнительный орган Союза;
- работники Исполнительного органа, а также члены иных созданных или учрежденных органов Союзом (по направлению деятельности);
- сам работник, носитель данных.
4.2. Внешний доступ.
4.2.1. К числу массовых потребителей персональных данных вне Союза относятся государственные и негосударственные функциональные структуры:
- органы налоговой инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военные комиссариаты;
- органы социального страхования;
- пенсионные фонды;
- муниципальные органы управления;
- национальное объединение саморегулируемых организаций, членом которого является Союз.
4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.2.3. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.
4.2.4. Другим организациям сведения о работающем или уже уволенном субъекте могут быть предоставлены только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
4.2.5. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта или по вступившему в законную силу решению суда.
4.2.6. Доступ к персональным данным субъекта может быть предоставлен путем размещения информации на сайте Союза в сети Интернет только в случае письменного разрешения субъекта, за исключением случаев, предусмотренных федеральным законом.

5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ОТ УГРОЗЫ УТРАТЫ И НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию, доступ к информации в нарушение должностных полномочий работников, доступ закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.
5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.3. Защита персональных данных представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Союза.
5.4. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Союзом за счет собственных средств и в порядке, установленном федеральным законом.
5.5. «Внутренняя защита».
5.5.1. Для обеспечения внутренней защиты персональных данных субъектов Союз обязуется соблюдать следующие меры:
- ограничить и регламентировать состав работников, функциональные обязанности которых требуют конфиденциальных знаний;
- избирательно и обоснованно распределить доступ к документам и информации между работниками аппарата Исполнительного органа и членами иных созданных или учрежденных органов Союза;
- контролировать знание работниками требований нормативно – методических документов по защите информации и сохранению тайны;
- организовать порядок уничтожения информации;
- своевременно выявлять нарушения требований разрешительной системы доступа работниками аппарата Исполнительного органа и членами иных созданных или учрежденных органов Союза;
- организовать регулярный внутренний аудит соответствия обработки персональных данных требованиям действующего законодательства.
5.5.2. Защита персональных данных субъектов на электронных носителях. Информационные базы и иные вычислительные комплексы, используемые Союзе и содержащие персональные данные субъектов, должны быть защищены паролем.
5.6. «Внешняя защита».
5.6.1. Для обеспечения внешней защиты конфиденциальной информации применяются меры, препятствующие несанкционированному доступу к информации. Результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
5.6.2. Под посторонним понимается лицо, не имеющее непосредственного отношения к деятельности Союза, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в Союзе.
5.6.3. Для обеспечения внешней защиты персональных данных субъектов Союз использует:
- пропускную систему доступа в офис Исполнительного органа;
- технические средства охраны и (или) сигнализации.
5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных субъектов.
5.8. По возможности персональные данные обезличиваются.
5.9. Кроме мер защиты персональных данных, установленных законодательством, Союз и члены Союза могут вырабатывать совместные меры защиты персональных данных субъектов.

6. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ СОЮЗА

6.1. Закрепление прав субъекта, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
6.2. Субъекты персональных данных: работники Исполнительного органа Союза, члены иных созданных или учрежденных органов Союза и работники членов Союза, - участвующие в деятельности Союза, обязаны ознакомиться под расписку с документами Союза, устанавливающими порядок обработки персональных данных субъектов, а также об их правах и обязанностях в этой области.
6.3. В целях защиты персональных данных, хранящихся в Союзе, субъекты персональных данных имеют право:
- требовать исключения или исправления неверных или неполных персональных данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны.
6.4. Субъекты персональных данных обязаны:
- передавать Союзу или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен нормативно-правовыми актами Российской Федерации;
- своевременно сообщать Союзу или члену Союза об изменении своих персональных данных, а члены Союза своевременно передавать в Исполнительный орган Союза информацию об изменении персональных данных своих работников.
6.5. Работники Исполнительного органа Союза, члены иных созданных или учрежденных органов Союза, ставят в известность уполномоченное лицо об изменении фамилии, имени, отчества, даты рождения, образования, профессии, специальности, присвоении нового разряда и пр.
6.6. Члены Союза ставят Союз в известность об изменениях фамилии, имени, отчества, даты рождения, образования, профессии, специальности своих работников для подтверждения своего соответствия требованиям законодательства в течение 30 дней с момента изменения указанных сведений.

7. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

7.1. Работники Исполнительного органа Союза и работники членов Союза несут персональную ответственность за разглашение конфиденциальной информации, связанной с персональными данными.
7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее в рамках деятельности Союза, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
7.3. Руководитель, разрешающий доступ работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
7.4. Каждый работник Исполнительного органа Союза, а также иные лица, участвующие в деятельности Союза, получающие для работы конфиденциальный документ, несут единоличную ответственность за сохранность носителя и конфиденциальность хранящейся на нем информации.
7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8. Неотъемлемой частью настоящего Положения являются:

Приложение № 1 Согласие на обработку персональных данных
Приложение № 2 Форма заявления, содержащее согласие работника члена Союза на обработку/передачу данных, отнесенных действующим законодательством к персональным данным
Приложение № 3 Форма уведомления субъекта о получении персональных данных от третьих лиц
Приложение № 4 Форма гарантийного письма руководителя члена Союза
Приложение № 5 Перечень подразделений и должностных лиц Союза, участвующих в обработке персональных данных
Приложение № 6 Форма обязательства о неразглашении персональных данных субъектов
Приложение № 7 Гарантийное письмо Исполнительного органа Союза руководителю члена Союза

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящее Положение, решения о внесении в него изменений и дополнений вступают в силу по истечении 10 (десяти) дней с момента утверждения Советом Союза.
9.2. Если в результате изменения законодательства и нормативных актов Российской Федерации отдельные статьи настоящего Положения вступают в противоречие с ними, эти статьи считаются утратившими силу и до момента внесения изменений в настоящее Положение работники и члены Союза руководствуются законодательством и нормативными актами Российской Федерации.