ПРИНЯТО

на заседании ______________________

 

__________________________________

        (наименование выборного органа ТПО, ППО)

Протокол № __ от «__» ________ 2017 г.

 

Примерное положение о защите персональных данных

в ____________________

(наименование ТПО, ППО)

1. Общие положения

1.1. Положение о защите персональных данных в ____________________
                                                                                                                                        (наименование ТПО, ППО)

(далее – Положение) имеет своей целью закрепление
механизмов обеспечения прав субъекта персональных данных на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.2. Настоящее Положение определяет порядок сбора, хранения, передачи и любого другого использования персональных данных членов Профсоюза, состоящих на профсоюзном учете в ____________________,
                                                                                                                                      (наименование ТПО, ППО)

обратившихся в ____________________, в соответствии с законодательством
                                             (наименование ТПО, ППО)

Российской Федерации и гарантии конфиденциальности предоставленных сведений.

1.3. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Указом Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера», Уставом Профсоюза работников народного образования и науки Российской Федерации.

1.4. Настоящее Положение принимается и вводится в действие на заседании _____________________________.

                          (наименование выборного органа ТПО, ППО)

2. Цель и задачи в области защиты персональных данных

Целью и задачами в области защиты персональных данных в ____________________, в соответствии с законодательством Российской
    (наименование ТПО, ППО)

Федерации, является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также защита персональных данных, содержащихся в документах, полученных в обращениях субъектов персональных данных и других документах.

3. Основные понятия. Состав персональных данных

3.1. Для целей настоящего Положения используются следующие понятия:

персональные данные – любая информация, относящаяся к прямо
или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (далее – Оператор) – ____________________;

    (наименование ТПО, ППО)

субъект персональных данных – физическое лицо, которому принадлежат те или иные персональные данные;

член Профсоюза – лицо, являющееся членом Профсоюза, состоящее на профсоюзном учете в ____________________, получающее помощь
                                                                         (наименование ТПО, ППО)

в ____________________ и являющееся субъектом персональных данных;

        (наименование ТПО, ППО)

обработка персональных данных – любое действие (операция)
или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств
с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

использование персональных данных – действия с персональными данными, совершаемые оператором в целях принятия решений
или совершения иных действий, порождающих юридические последствия
в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

предоставление персональных данных – действия, направленные
на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных – действия, направленные
на раскрытие персональных данных неопределенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных
в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.2. При обработке персональных данных ____________________
                                                                                                                                        (наименование ТПО, ППО)

устанавливает следующие категории персональных данных:

• фамилия, имя, отчество;
• число, месяц, год рождения;
• паспортные данные (номер, серия, кем и когда выдан, код подразделения);
• адрес регистрации;
• адрес места проживания;
• контактные номера телефонов;
• пол;
• гражданство;
• данные свидетельства о постановке на налоговый учет (ИНН);
• данные свидетельства государственного пенсионного страхования (СНИЛС);
• сведения о месте работы, занимаемой должности;
• данные о начислении заработной платы;
• сведения о трудовом стаже;
• сведения об инвалидности;
• данные о вычетах и взносах;
• количество и возраст детей;
• сведения о льготах;
• сведения об образовании, повышении квалификации, аттестации;
• сведения о поощрениях.

4. Обработка персональных данных

4.1. При обработке персональных данных ____________________
                                                                                                                                       (наименование ТПО, ППО)

обязана соблюдать следующие требования:

• осуществлять обработку персональных данных с согласия субъекта персональных данных;
• осуществлять обработку данных на законной и справедливой основе в соответствии с законодательством Российской Федерации;
• не использовать персональные данные в целях причинения морального вреда и (или) имущественного ущерба работникам и членам Профсоюза;

• обеспечивать при обработке субъекта персональных данных точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
• принимать необходимые меры либо обеспечивать их принятие
  по удалению или уточнению неполных или неточных данных субъекта персональных данных.

4.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки персональных данных в ____________________.

         (наименование ТПО, ППО)

5. Получение персональных данных

5.1. Все персональные данные, обрабатываемые в
____________________, следует получать непосредственно от субъекта
    (наименование ТПО, ППО)

персональных данных.

5.2. Субъект персональных данных принимает решение
о предоставлении своих персональных данных и дает согласие
на их обработку свободно, своей волей и в своем интересе.

5.3. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и оформляется согласно Приложению № 1 к настоящему Положению.

5.4. Письменное согласие на обработку персональных данных
не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

5.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных согласно Приложения № 2 к настоящему Положению.

5.6. В случаях, когда ____________________ может получить
                                                                                      (наименование ТПО, ППО)

необходимые персональные данные субъекта только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении ____________________ обязана сообщить о целях, способах и источниках
     (наименование ТПО, ППО)

получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.

5.7. Обязанность предоставить доказательства получения согласия субъекта персональных данных на обработку его персональных данных
или доказательство наличия оснований на обработку его персональных данных возлагается на ____________________.

                                                            (наименование ТПО, ППО)

 

 

6. Хранение персональных данных

6.1. Хранение персональных данных субъектов персональных данных
в ____________________ осуществляется как на бумажных, так и на
            (наименование ТПО, ППО)

электронных носителях с ограниченным доступом.

6.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.

6.3. Работники ____________________, хранящие персональные данные
                                                      (наименование ТПО, ППО)

на электронных носителях, в электронных базах данных, обеспечивают их защиту от несанкционированного доступа и копирования.

7. Передача персональных данных

7.1. При передаче персональных данных субъектов персональных данных ____________________ обязана соблюдать следующие требования:

                       (наименование ТПО, ППО)

• не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных,
  за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, предусмотренных законодательством Российской Федерации;
• предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
• не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
• передавать персональные данные члена Профсоюза представителям членов Профсоюза в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций;
• регистрировать все сведения о передаче персональных данных субъекта персональных данных в журнале учета передачи персональных данных согласно Приложению № 5 к настоящему Положению.

7.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта персональных данных распространяются как на бумажные, так и на электронные носители информации.

8. Доступ к персональным данным субъекта

8.1. Право доступа к персональным данным субъекта персональных данных имеют:

• председатель и заместители председателя ____________________;

                                                                                                                                 (наименование ТПО, ППО)

• работники ____________________, доступ которых к персональным
                                 (наименование ТПО, ППО)

данным необходим в целях выполнения своих должностных обязанностей, определенные распоряжением председателя ____________________;

                                                                                                                (наименование ТПО, ППО)

• сам субъект персональных данных, носитель данных.

8.2. Все работники ____________________, имеющие доступ к
                                                                           (наименование ТПО, ППО)

персональным данным субъектов персональных данных, обязаны подписать обязательство о неразглашении персональных данных согласно Приложению № 3 к настоящему Положению.

8.3. Организации, в которые субъект персональных данных может осуществлять перечисления денежных средств (страховые организации, негосударственные пенсионные фонды и пр.) могут получить доступ
к персональным данным субъекта персональных данных только в случае его письменного разрешения.

8.4. Процедура оформления доступа к персональным данным членов Профсоюза включает в себя ознакомление лиц, осуществляющих обработку персональных данных или имеющих к ним доступ, с настоящим Положением в листе ознакомлений под роспись согласно Приложению № 4 к настоящему Положению.

8.5. Обязанность ознакомления членов Профсоюза с настоящим Положением лежит на председателе ____________________.

                                                                                             (наименование ТПО, ППО)

9. Уничтожение персональных данных

9.1. Персональные данные субъектов персональных данных хранятся
не дольше, чем этого требуют цели их обработки.

9.2. Уничтожение персональных данных осуществляется в случаях:

• достижения цели обработки персональных данных;
• утраты необходимости в достижении целей обработки персональных данных;
• отзыва субъектом персональных данных согласия на обработку своих персональных данных;
• требования субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

9.3. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

9.4. Уничтожение персональных данных должно быть осуществлено
в течение 30 дней с указанных в п. 9.2 настоящего Положения. Факт уничтожения персональных данных оформляется актом уничтожения
с подписью ответственных(ого) за уничтожение лиц(а) согласно Приложению № 7 к настоящему Положению.

10. Права и обязанности субъектов персональных данных

10.1. В целях обеспечения защиты персональных данных субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных;

• требовать исключения неверных или исправления неполных персональных данных, а также данных, обработанных с нарушением законодательства Российской Федерации;
• дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• на защиту своих прав и законных интересов.

10.2. Субъект персональных данных обязуется предоставлять персональные данные, соответствующие действительности.

11. Обязанности ____________________ при работе с персональными
                                                  (наименование ТПО, ППО)

данными субъектов персональных данных

11.1. ____________________ обязана принимать меры, необходимые и
                              (наименование ТПО, ППО)

достаточные для обеспечения защиты персональных данных, предусмотренные законодательством Российской Федерации.

11.2. ____________________ самостоятельно определяет состав перечень
                             (наименование ТПО, ППО)

мер, необходимых и достаточных для обеспечения выполнения обязанностей по защите персональных данных, предусмотренных законодательством Российской Федерации.

11.3. Для защиты персональных данных субъектов персональных данных ____________________ обязана:

                        (наименование ТПО, ППО)

• назначить ответственных за организацию и осуществление обработки персональных данных в ____________________ из числа
                                                                                                          (наименование ТПО, ППО)

работников ____________________;

                                 (наименование ТПО, ППО)

• издать документы, определяющие политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применить правовые, организационные и технические меры
  по обеспечению безопасности персональных данных;
• ознакомить работников ____________________ с настоящим
                                                                                                (наименование ТПО, ППО)

Положением, правами в области защиты персональных данных под роспись;

• обеспечить защиту персональных данных субъектов персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
• по запросу ознакомить субъекта персональных данных или его законных представителей с настоящим Положением, а также с другими документами ____________________, устанавливающими порядок обработки
                                        (наименование ТПО, ППО)

персональных данных, правами субъекта персональных данных в области защиты персональных данных, с заполнением граф в журнале учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных согласно Приложению № 6
к настоящему Положению;

• по требованию субъекта персональных данных обеспечить доступ
  к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.

11.4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуется проведение периодических проверок условий обработки персональных данных в ____________________.

                            (наименование ТПО, ППО)

11.5. План внутренних проверок режима защиты персональных данных содержит перечень внутренних проверок, проводимых в ____________________, и содержит следующую информацию:

    (наименование ТПО, ППО)

• название проверки;
• периодичность проведения проверки;
• ответственный исполнитель.

11.6. Проверки осуществляются ответственным за организацию обработки персональных данных ____________________ либо комиссией,
                                                                                           (наименование ТПО, ППО)

утвержденной председателем ____________________. О результатах
                                                                                       (наименование ТПО, ППО)

проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю ____________________ докладывает
                                                                                            (наименование ТПО, ППО)

ответственный за организацию обработки персональных данных ____________________ либо председатель комиссии.

     (наименование ТПО, ППО)

11.7. При получении персональных данных не от субъекта персональных данных ____________________ до начала обработки таких персональных
                         (наименование ТПО, ППО)

данных обязано предоставить субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес Оператора;
• цель обработки персональных данных;
• предполагаемых пользователей персональных данных;
• права субъекта персональных данных;
• источник получения персональных данных.

11.8. ____________________ освобождается от обязанности
                                     (наименование ТПО, ППО)

предоставить субъекту персональных данных сведения, предусмотренные
в пункте 11.7 настоящего Положения, в случаях если:

• персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом
  не нарушаются права и законные интересы субъекта персональных данных.

11.9. ____________________ обязуется обеспечить неограниченный
                               (наименование ТПО, ППО)

доступ субъектов персональных данных к настоящему Положению.

11.10. ____________________ обязана разъяснить субъекту
                                        (наименование ТПО, ППО)

персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации.

12. Общедоступные источники персональных данных

12.1. В целях информационного обеспечения в ____________________
                                                                                                                                       (наименование ТПО, ППО)

могут создаваться общедоступные источники персональных данных (в том числе справочники, сборники, адресные книги и пр.).

12.2. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его:

• фамилия, имя, отчество;
• год и место рождения;

• сведения об образовании;
• сведения о занимаемой должности;
• стаж работы;
• иные персональные данные, сообщаемые субъектом персональных данных.

12.3. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных
по требованию субъекта персональных данных либо по решению суда
или иных уполномоченных государственных органов.

 

 

13. Ответственность за нарушение норм, регулирующих обработку
и защиту персональных данных

13.1. Лица, ответственные за организацию обработки персональных данных ____________________, получают указания непосредственно
                             (наименование ТПО, ППО)

от председателя ____________________ и подотчетны ему.

                                             (наименование ТПО, ППО)

13.2. Лица, ответственные за организацию обработки персональных данных в __________________, обязаны:

• осуществлять внутренний контроль за соблюдением
  ____________________ и ее работниками законодательства Российской
       (наименование ТПО, ППО)

Федерации о персональных данных, в том числе требований к защите персональных данных;

• доводить до сведения работников ____________________
                                                                                                                            (наименование ТПО, ППО)

положения законодательства Российской Федерации о персональных данных, локальных нормативных актов по вопросам обработки персональных данных (приказы, инструкции), требования к защите персональных данных;

• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей
  и (или) осуществлять контроль за приемом и обработкой таких обращений
  и запросов.

13.3. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

13.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

13.5. Ответственность за нарушение норм, регулирующих обработку
и защиту персональных данных, изложена в:

• Кодексе об административных правонарушениях Российской Федерации – ст.ст. 5.39, 13.11, 13.14, 19.7;
• Уголовном кодексе Российской Федерации – ст. 137;
• Трудовом кодексе Российской Федерации – ст.ст. 90, 237.

 

 

14. Заключительные положения

14.1. Настоящее Положение не заменяет собой действующее законодательство Российской Федерации, регулирующего отношения в сфере обработки персональных данных и обеспечения их безопасности
и конфиденциальности.

14.2. В случае если при изменении федеральных законов и иных нормативных правовых актов отдельные требования настоящего Положения вступят в противоречие с указанными законами и иными нормативными правовым актами, соответствующие требования настоящего Положения
не будут подлежать применению.