Положение об обработке персональных данных

смотреть видео
Положение об обработке и защите персональных данных составлено опытными юристами. В сервисе можно скачать образец положение о порядке обработки и обеспечения безопасности персональных данных работников.
Дата актуализации: 2021-06-30
Полезная информация
Описания

Понятие положения об обработке и защите персональных данных

Информация, так или иначе относящиеся к конкретному физическому лицу является в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ персональными данными (сокращенно - ПДн). Её получение возможно напрямую от самого работника или же допустимо получить её от иных лиц, получив соответствующее письменное согласие от самого физического лица.

Работодатель должен утвердить предварительно сделанные локальные нормативные акты, которыми определяется и регулируется порядок обработки и передачи ПДн в компании. Помимо этого в них нужно указать обязанности и права работников (ст. 86-88). Таким актом является положение об обработке и защите персональных данных.

Он определяет процедуры работ с ПД как внутри, так и вовне организации, и содержит гарантии конфиденциальности всех сведений, предоставленных (полученных) работодателю. Составление этого акта обязательно в каждой организации.

Положение о порядке обработки и обеспечения безопасности персональных данных

Регулирование использования ПДн работников осуществляет Трудовой Кодекс РФ. В нем прописаны правила, указывающие, что использование сведений можно только для соблюдения законодательства и для содействия сотрудникам в следующем:

  • очередности выхода и возвращения из отпуска,
  • обучении (повышении квалификации),
  • продвижения по карьерной лестнице,
  • обеспечении соблюдения личной безопасности,
  • контроля качества выполняемых работ,
  • трудоустройстве (оформления приема на работу),
  • установление размера зарплаты.

Содержание положения об обработке ПДН

Специально утвержденной формы документа действующий Закон не содержит, но анализируя правовые нормы, можно выделить необходимость включения следующих разделов:

  • цель и задачи компании в области ЗПД;
  • понятие и состав ПД;
  • процедура накопления и хранения;
  • порядок доступа в пределах и во вне фирмы;
  • передача ПД: процедура и возможности такого;
  • защита от получения несанкционированного доступа третьих лиц;
  • права;
  • ответственность, наступающею за незаконное разглашение конфиденциальной информации. В этом пункте указывается виды наказаний, которые приминяются в зависимости от проступка.

Утверждение положения об обработке и защите персональных данных работников

После составление документа необходимо, чтобы руководитель организации утвердил и ввел его в действие. С этой целью издается приказ. Всех работников знакомят с этими бумагами под роспись.

Контроль за этим осуществляет руководитель лично, или уполномоченная им кадровая служба. Согласно статье 90 ТК РФ те, кто нарушил законодательство при обработке ПД могут быть привлечены в зависимости от тяжести проступка к различным видам ответственности.

Положение об обработке персональных данных
Утверждено
 

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ


,  г.
1.

Общие положения

1.1.

Настоящее Положение об обработке персональных данных в (далее – Положение) определяет порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных субъектов персональных данных в  (далее – Оператор).

1.2.

Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», локальными нормативными актами Оператора, а также иными нормативно-правовыми актами Российской Федерации, регулирующими правоотношения в сфере персональных данных.

1.3.

Работники Оператора, получающие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящим Положением для последующего его исполнения.

1.4.

Все работники Оператора в соответствии со своими полномочиями владеющие, получающие и использующие информацию о субъектах персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение правил обработки и защиты этой информации.

2.

Состав персональных данных, обрабатываемых Оператором

2.1.

Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:

2.1.1.

Персональные данные работников Оператора.

При приеме на работу работником Оператора, отвечающим за кадровое делопроизводство, для осуществления кадрового учета оформляется личное дело работника, в котором размещаются документы/копии документов, содержащие следующие анкетные и биографические данные работника:

- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство (подданство), образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные, адрес места жительства);

- сведения о воинском учете;

- другие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.

В дальнейшем в личное дело работника вносятся:

- сведения о переводах на другую работу;

- сведения об аттестации;

- сведения о повышении квалификации;

- сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством.

Цели обработки персональных данных работников Оператора:

- ведение регламентированного законодательством Российской Федерации кадрового учета работников;

- учет рабочего времени работников;

- расчет заработной платы работников;

- ведение налогового учета;

- ведение воинского учета;

- предоставление в государственные органы регламентированной отчетности;

- архивное хранение данных;

- содействие работнику в повышении квалификации, обучении, продвижении по службе, пользовании различного вида льгот.

Получение и обработка персональных данных работника Оператора должны осуществляться исключительно в указанных целях.

Полученные персональные данные, необходимые для достижения вышеуказанных целей, отражаются в личном деле работника в соответствии с требованиями трудового законодательства и внутренних нормативных документах Оператора, регламентирующих кадровое делопроизводство и учет.

Получение и обработка персональных данных работника не должны ущемлять гарантированные ему Конституцией Российской Федерации права и свободы как гражданину Российской Федерации.

2.1.2.

Персональные данные родственников работников Оператора.

Обработка персональных данных близких родственников работника Оператора осуществляется в объеме, предусмотренном унифицированной формой № Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).

Цели обработки персональных данных родственников работников Оператора:

- обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, предоставления гарантий и компенсаций работникам Оператора и их близким родственникам, установленных действующим законодательством и локальными нормативными актами Оператора.

2.1.3.

Персональные данные бывших работников Оператора.

Обработка персональных данных бывших работников Оператора осуществляется в объеме, необходимом в рамках бухгалтерского и налогового учета, а также соблюдения федеральных законов и иных нормативных правовых актах Российской Федерации.

Цели обработки персональных данных бывших работников Оператора:

- обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, в том числе в части бухгалтерского и налогового учета, обеспечения архивного хранения документов, предоставления гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Оператора.

2.1.4.

Персональные данные участников Оператора.

При осуществлении обработки персональных данных участников Оператора, уполномоченный работник, осуществляет обработку следующих персональных данных:

- фамилия, имя, отчество;

- паспортные данные (серия и номер документа, удостоверяющего личность, дата выдачи документа, удостоверяющего личность, и информацию о выдавшем его органе);

- адрес регистрации и фактического проживания;

- номер контактного телефона;

- адрес электронной почты;

- сведения о доли участия в уставном капитале Оператора, ее оплате и дате перехода;

- сведения о аффилированных лицах участника, способных оказывать влияние на деятельность Оператора;

- сведения о лицевом (расчетном) счете, а также о кредитной организации (банке) в котором открыт счет для перечисления дивидендов;

 

Цели обработки персональных данных участников Оператора:

- ведение списка участников Оператора;

- ведение учета выплат дивидендов;

- обеспечение соблюдения норм Федерального закона от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью» и иных правовых актов Российской Федерации.

2.1.5.

Персональные данные Клиентов и Контрагентов Оператора (физических лиц).

Состав и объем персональных данных Клиентов и Контрагентов Оператора (физических лиц), определяется в соответствии с законодательством Российской Федерации, в состав которых входит:

-  фамилия, имя, отчество;

- паспортные данные (серия и номер документа, удостоверяющего личность, дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе);

- адрес регистрации;

- номер контактного телефона;

- адрес электронной почты;

 

Цели обработки персональных данных Клиентов и Контрагентов Оператора (физических лиц):

- реализация уставных целей Оператора;подготовка, заключение, исполнение и прекращение гражданско-правовых договоров;

- осуществление иных сделок в соответствии с законодательством Российской Федерации.

2.1.6.

Персональные данные представителей/работников клиентов и контрагентов Оператора (юридических лиц).

В состав персональных данных представителей/работников клиентов и контрагентов Оператора (юридических лиц) входит:

-  фамилия, имя, отчество;

- номер контактного телефона;

- адрес электронной почты;

- номер рабочего телефона;

 

Цели обработки персональных данных представителей/работников клиентов и контрагентов Оператора (юридических лиц):

- подтверждение полномочий субъекта ПДн (представителя/работника), действовать от имени клиентов и контрагентов Оператора (юридических лиц);

- исполнения заключенных договоров.

2.1.7.

Персональные данные  

В состав персональных данных входит:

 

Цели обработки персональных данных:

 

2.2.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации.

2.3.

Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.

3.

Принципы обработки персональных данных

3.1.

Обработка персональных данных осуществляется на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.

3.2.

Сбор, накопление, хранение, изменение, использование и распространение, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться только при условии согласия физического лица, за исключением случаев, предусмотренных законодательством Российской Федерации.

3.3.

Не допускаются получение и обработка персональных данных работников и иных субъектов ПДн об их политических, религиозных и иных убеждениях, частной жизни, а также об их членстве в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.

3.4.

Согласно законодательству Российской Федерации и политике Оператора, сведения, содержащие персональные данные, относятся к информации с ограниченным доступом.

3.5.

Во всех случаях отказ работника и иных субъектов ПДн от своих прав на сохранение и защиту тайны персональных данных недействителен, если сам работник или иной субъект ПДн не сделал их общедоступными.

4.

Порядок и условия обработки персональных данных

4.1.

Обработка персональных данных может включать сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.2.

Непосредственно сбор, запись, систематизация, накопление, уточнение (обновление, изменение), извлечение и использование персональных данных осуществляется путем:

- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

- предоставления субъектами персональных данных оригиналов или заверенных в установленном порядке копий документов, содержащих персональные данные;

- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;

- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Оператором деятельности и в порядке, предусмотренном законодательством РФ.

4.3.

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

Форма письменного согласия работника Оператора на обработку персональных данных, предусмотрена в Приложении №  к настоящему Положению. Согласие на обработку персональных данных заполняется субъектами ПДн собственноручно.

4.4.

При сборе персональных данных работники Оператора обязаны предоставить физическому лицу (субъекту персональных данных) по его запросу информацию о целях и способах обработки его персональных данных, сведения о лицах, имеющих доступ к персональным данным (за исключением работников Оператора), перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных.

4.5.

При рассмотрении обращений (заявлений) граждан не допускаемся разглашение сведений, содержащихся в них, а также сведений, касающейся частной жизни гражданина, без его согласия.

Не является разглашением сведений, содержащихся в обращении, направление письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, иному юридическому лицу, в компетенцию которых входит решение поставленных в обращении вопросов, с уведомлением гражданина, направившего обращение.

4.6.

Письменные согласия субъектов ПДн подлежат хранению у Оператора.

4.7.

Если предоставление персональных данных является обязательным в соответствии с федеральным законом, работники Оператора, осуществляющие сбор и последующую обработку персональных данных, обязаны разъяснить субъекту ПДн юридические последствия отказа предоставить его персональные данные.

4.8.

В случае подтверждения факта неточности персональных данных, работник Оператора, осуществляющий обработку персональных данных, на основании сведений, предоставленных работником Оператора или иным субъектом ПДн, или их представителями либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений.

4.9.

К обработке персональных данных допускаются только работники Оператора, занимающие должности, включенные в перечень лиц, допущенных к обработке персональных данных

4.10.

Обработка персональных данных Оператором осуществляется следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

4.11.

Обрабатываемые у Оператора персональные данные содержатся:

- на бумажных носителях, в том числе в личных делах, в карточках, журналах, реестрах и в других документах;

- в электронном виде в информационных системах персональных данных Оператора, а также на внешних электронных и гибких носителях, в файлах, хранящихся на автоматизированных рабочих местах.

4.12.

В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, могут включаться, фамилия, имя, отчество, место работы, должность, телефонный абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

4.13.

Информация, представляемая работником при поступлении на работу к Оператору, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;

- документ об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, – при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с Трудовым кодексом Российской Федерации, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию;

- в отдельных случаях с учетом специфики работы Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов, содержащих персональные данные работника.

4.14.

Обработка персональных данных близких родственников работника Оператора осуществляется в объеме, предусмотренном законодательством Российской Федерации (получение алиментов, заполнения унифицированной формы № Т-2, оформление социальных выплат и др.), в иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

4.15.

Обработка персональных данных бывших работников Оператора осуществляется только в рамках ведения бухгалтерского и налогового учета, обеспечения архивного хранения документов, предоставления гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Оператора, а также соблюдения федеральных законов и иных нормативных правовых актах Российской Федерации. В иных случаях получение согласия бывших работников Оператора является обязательным условием обработки их персональных данных.

5.

Сроки обработки персональных данных

5.1.

Обработка персональных данных Оператором осуществляется в следующие сроки:

- Оператор обрабатывает персональные данные работников в течение срока действия трудового договора. Оператор обрабатывает персональные данные бывших работников в течение срока, установленного п. 5 ч. 3 ст. 24 Налогового Кодекса Российской Федерации, ч. 1 ст. 29 Федерального закона от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

- Оператор обрабатывает персональные данные родственников работника Оператора в течение срока действия трудового договора с работником Оператора, если иной срок не предусмотрен законодательством РФ.

- Оператор обрабатывает персональные данные участника Оператора в течение срока владения участником долей в уставном капитале Оператора. При прекращении участия в уставном капитале Оператора, срок обработки персональных данных, вышедшего участника, устанавливается не более срока, предусмотренного п. 5 ч. 3 ст. 24 Налогового Кодекса Российской Федерации, ч. 1 ст. 29 Федерального закона от 06.12.2011 г. № 402-ФЗ  «О бухгалтерском учёте» и иными нормативными правовыми актами.

- Оператор обрабатывает персональные данные Клиентов и Контрагентов Оператора (физических лиц) с их согласия, предоставляемого на срок действия заключенных с ними договоров (в случаях, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных», согласие предоставляется в письменном виде, в иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий).

Оператор обрабатывает персональные данные Клиентов и Контрагентов Оператора в течение сроков действия, заключенных с ними договоров. Оператор может обрабатывать персональные данные Клиентов и Контрагентов Оператора после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 Налогового Кодекса Российской Федерации, ч. 1 ст. 29 Федерального закона от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.

- Оператор обрабатывает персональные данные представителей/работников клиентов и контрагентов Оператора (юридических лиц) с их согласия, предоставляемого в течение срока, необходимого для представительства интересов третьих лиц у Оператора.

- Оператор обрабатывает персональные данные субъектов персональных данных, указанных в п. 2.1.7 настоящего Положения с их согласия, предоставляемого в течение .

5.2.

Хранение персональных данных Оператором осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных.

5.3.

Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.

6.

Доступ к персональным данным

6.1.

Работники Оператора, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к обработке персональных данных, который утверждается руководителем Оператора.

6.2.

Перечень лиц, допущенных к обработке персональных данных для информационной системы, должен поддерживаться в актуальном состоянии.

6.3.

Оператором установлен разрешительный порядок доступа к ПДн. Сотрудникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения руководителя.

6.4.

Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Оператора по распоряжению руководителя Оператора.

6.5.

Работники Оператора допускаются к обработке персональных данных после ознакомления с правилами работы с персональными данными, а также с внутренними нормативными и распорядительными документами Оператора по защите персональных данных.

6.6.

Доступ к ПДн третьих лиц, не являющихся сотрудниками Оператора без согласия субъекта ПДн, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с уведомления руководителя Оператора.

6.7.

В случае обнаружения нарушений порядка предоставления прав доступа к персональным данным, руководитель Оператора обязан приостановить предоставление персональных данных пользователям, осуществляющих обработку ПДн (получившим доступ) в нарушение порядка, до выявления и устранения причин нарушений.

7.

Права и обязанности Оператора

7.1.

В случае выявления недостоверных персональных данных или неправомерных действий с ними, при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Оператор обязан осуществить устранение допущенных нарушений или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.

7.2.

Работники Оператора, в обязанность которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законодательством Российской Федерации.

7.3.

В случае предоставлении субъектом ПДн фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.

7.4.

Оператор обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.

7.5.

По запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан предоставить ему необходимую информацию.

8.

Права и обязанности субъектов персональных данных

8.1.

Права и обязанности работников Оператора.

8.1.1.

Права работника Оператора.

В целях защиты своих персональных данных, хранящихся у Оператора, работник имеет право:

- требовать исключения или исправления неверных или неполных персональных данных;

- получать свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- определять своих представителей для защиты своих персональных данных;

- требовать сохранения и защиты своей личной и семейной тайны;

- обжаловать в суде любые неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.

В целях защиты персональных данных, хранящихся у Оператора, работник, осуществляющий обработку персональных данных, имеет право:

- получать и вводить информацию в соответствии с его полномочиями;

- требовать оповещения Оператором субъекта персональных данных обо всех произведенных в них исключениях, исправлениях или дополнениях.

8.1.2.

Обязанности работника Оператора.

В части своих персональных данных работник обязан:

- передавать Оператору достоверные документы, содержащие персональные данные, состав которых установлен Трудовым кодексом Российской Федерации, а также иными требованиями законодательства Российской Федерации;

- не предоставлять неверные персональные данные, а в случае изменений в персональных данных, обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), незамедлительно сообщить об этом Оператору.

В части обработки персональных данных субъекта ПДн:

- соблюдать режим конфиденциальности;

- не передавать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

- не передавать персональные данные третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законом;

- разрешать доступ к персональным данным субъектов ПДн только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

- не запрашивать дополнительную информацию, содержащую персональные данные, за исключением тех сведений, которые необходимы для выполнения работником трудовых обязанностей.

8.2.

Права и обязанности иных субъектов персональных данных.

8.2.1.

Субъекты персональных данных, персональные данные которых обрабатывает Оператор, имеют право:

- на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

- на получение информации, касающейся обработки своих персональных данных;

- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

- защищать свои права и законные интересы, в том числе требовать возмещение убытков и (или) компенсации, в случаи их нарушения.

8.2.2.

Субъекты ПДн, персональные данные которых обрабатывает Оператор, обязаны:

- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными актами Оператора в объеме, необходимом для цели обработки;

- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

9.

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

9.1.

Целью осуществления внутреннего контроля соответствия обработки персональных данных у Оператора является соблюдение законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных.

9.2.

Проверки условий обработки персональных данных требованиям законодательства Российской Федерации проводятся не реже одного раза в год лицом, ответственным за организацию обработки персональных данных или специально созданной комиссией, в состав которой входят лицо, ответственное за организацию обработки персональных данных, на основании приказа руководителя Оператора.

9.3.

Внутренний контроль подразделяется на плановый и внеплановый.

9.4.

Плановый внутренний контроль проводится на основании плана, утвержденного руководителем Оператора.

Периодичность планового внутреннего контроля - не реже .

Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении. В случае необходимости срок может быть увеличен по решению руководителя Оператора.

9.5.

Внеплановый внутренний контроль проводится по решению лица, ответственного за организацию обработки персональных данных:

- на основании поступившего к Оператору в письменной форме или в форме электронного документа заявления субъекта персональных данных о нарушении законодательства в области персональных данных, а также устного обращения;

- в связи с проведением у Оператора государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных;

- поручения ответственного за организацию обработки персональных данных у Оператора.

9.6.

Результаты внутреннего контроля оформляются актом.

10.

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1.

Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность, предусмотренную законодательством Российской Федерации.

10.2.

Работники Оператора, получающие доступ к персональным данным, несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации. Кроме того, работники Оператора, получающие для работы документы, содержащие персональные данные, несут персональную ответственность за их сохранность.

10.3.

В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой какие-либо финансовые потери для Оператора, виновные работники обязаны возместить причиненный ущерб.