Положення про обробку та захист персональних даних працівників. Положення про обробку персональних даних ніу вше

Положення про персональні дані працівників - зразок 2019 року ви знайдете у цій статті - має бути обов'язково включено до структури кадрового документообігу фірми, яка має найманих працівників. Які нюанси складання цього джерела? Для чого потрібне положення про роботу з персональними даними працівників? Розглянемо відповіді ці та інші питання, і навіть наведемо зразок заповнення такого становища.

Є питання, які кадрові документимають бути оформлені в обов'язковому порядку, як їх вести та заповнювати? Вкажіть їх на нашому форумі. Наприклад, можна дізнатися, чим загрожує відсутність згоди на обробку даних.

Що таке персональні дані

Під персональними даними прийнято розуміти будь-яку інформацію, що стосується людини — суб'єкта, що визначається прямо чи опосередковано згідно з критеріями закону «Про персональні дані» від 27.07.2006 № 152-ФЗ.

Дані про людину підпадають під юрисдикцію закону № 152-ФЗ у тому випадку, якщо перебувають у розпорядженні оператора персональних даних або підлягають обробці за його участю (п. 1 ст. 1 закону № 152-ФЗ). Ознакам оператора, зокрема, відповідають фірми, які мають найманих працівників, оскільки вони здійснюють опрацювання широкого спектра відомостей про суб'єктів у процесі вибудовування з ними трудових відносин.

Як скласти згоду на обробку персональних даних, див.

Для чого потрібне положення про роботу з персональними даними

Норми ст. 87 ТК РФ, і навіть п. 2 ст. 18.1 закону № 152-ФЗ наказують роботодавцям регламентувати операції з персональними даними своїх працівників. Однак у зазначених НПА, як і в інших федеральних джерелах права, чітко не визначено, яким саме чином цей обов'язок повинен виконуватися. На практиці це найчастіше здійснюється за допомогою розробки та затвердження фірмою внутрішньокорпоративного положення про персональні дані найнятих працівників.

Яка стаття КоАП РФ передбачає штраф за порушення при обробці персональних даних, дізнайтесь за посиланням.

Положення про персональні дані працівників: структура документа

Цей документ містить локальні норми, що визначають:

• цілі та завдання фірми при роботі з персональними даними;
• переліки фактичних та потенційно задіяних у бізнес-процесах компанії персональних даних;
• опис операцій із даними, що практикуються компанією;
• способи доступу до даних, що використовуються у фірмі;
• обов'язки співробітників фірми, які діють під час виконання трудової функції ті чи інші дані;
• права співробітників фірми придбання санкціонованого доступу до даних;
• правові механізми відповідальності працівників фірми за порушення при операціях із даними.

Виходячи з зазначеного переліку норм, положення про обробку персональних даних працівників може бути подане такими ключовими розділами:

• що встановлює загальні положення документа;
• що фіксує критерії виділення персональних даних із масиву інформації, що задіюється в документообігу та на інших ділянках внутрішньокорпоративних комунікацій;
• визначальним перелік ключових операцій із персональними даними;
• що регламентує здійснення відповідних операцій;
• визначальним порядок доступу працівників фірми та інших осіб до даних;
• встановлює обов'язки співробітників, які беруть участь в операціях із даними;
• встановлює права співробітників компанії щодо отримання доступу до таких даних та здійснення необхідних операцій з ними;
• визначальним механізми відповідальності співробітників фірми порушення локальних і положень законодавства РФ, які регламентують операції з персональними даними.

Положення про внутрішньокорпоративні операції з персональними даними повинен запевнити керівник фірми. З копією цього документа мають ознайомитися всі співробітники під розписку (підп. 6 п. 1 ст. 18.1 Закону № 152-ФЗ).

Положення щодо обробки та захисту персональних даних встановлює порядок збору, накопичення, зберігання, використання, видалення та ін. інформації, що містить відомості про співробітників підприємства. У документі має бути описаний порядок передачі ПДН третім особам, особливості автоматизованої та неавтоматизованої обробки ПДн, порядок доступу до ПДн, порядок організації внутрішнього контролю та відповідальність за порушення при обробці ПДн.

Як скласти положення щодо обробки та захисту персональних даних

Документ розробляється відповідно до законодавства Російської Федераціїпро персональні дані та нормативно-методичні документи виконавчих органів державної влади з питань безпеки ПДн при їх обробці в інформаційних системах ПДн.

Положення про захист персональних даних зазвичай складається з 11 розділів:

1. загальні положення.
2. Цілі та завдання обробки ПДн.
3. Персональні дані, що обробляються в ІСПДн (ПІБ, дата народження, контактний телефон, адреса прописки, адреса фактичного проживання).
4. Доступ до ПДН.
5. Основні вимоги щодо захисту ПДн.
6. Згода на обробку ПДН.
7. Права суб'єкта щодо ПДн, що обробляються оператором.
8. Права та обов'язки оператора ІСПДн.
9. Порядок обробки та захисту ПДн.
10. Особливості обробки ПДН співробітників оператора.
11. Відповідальність порушення цього становища.

Дія положення щодо обробки та захисту персональних даних поширюється на всі процеси зі збору, систематизації, накопичення, зберігання, уточнення, використання, поширення (у тому числі передачу), знеособлення, блокування, знищення ПДН, що здійснюються з використанням засобів автоматизації та без їх використання.

Суб'єкти персональних даних

До суб'єктів ПДН відносяться:

• Співробітники оператора.
• Кандидати прийому працювати.
• Клієнти (споживачі послуг оператора).
• Індивідуальні підприємці – контрагенти оператора.
• Клієнти організацій, контрагентів оператора (обслуговування корпоративних клієнтів).
• Інші фізичні особи, ПДн яких обробляються в оператора.

Положення з обробки та захисту персональних даних набирає чинності з моменту його затвердження та діє безстроково, до заміни його новим становищем. Усі працівники організації мають бути ознайомлені з цим документом під розпис.

(Повне найменування оператора)

	"ЗАТВЕРДЖЕНО"
	Індивідуальний підприємець
	(Посада)		(особистий підпис)		(розшифровка підпису)
	№

Положення про обробку та захист персональних даних

загальні положення

1.1.

Це Положення розроблено відповідно до законодавства Російської Федерації про персональні дані (далі за текстом - ПДН) та нормативно-методичними документами виконавчих органів державної влади з питань безпеки ПДн при їх обробці в інформаційних системах ПДн (далі - ІСПДн).

1.2.

З метою цього Положення використовуються такі терміни:

персональні дані (ПДн) - будь-яка інформація, що відноситься до прямо чи опосередковано визначеної чи визначеної фізичної особи (суб'єкта ПДн);

оператор - державний орган, муніципальний орган, юридична або фізична особа, що самостійно або спільно з іншими особами організують та (або) здійснюють обробку ПДН, а також визначальні цілі обробки ПДн, склад ПДн, що підлягають обробці, дії (операції), що здійснюються з ПДн;

обробка ПДН - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з ПДН, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення ПДН;

автоматизована обробка ПДн – обробка ПДн за допомогою засобів обчислювальної техніки;

поширення ПДн – дії, спрямовані на розкриття ПДн невизначеному колу осіб;

надання ПДН - дії, спрямовані на розкриття ПДН певній особі чи певному колу осіб;

блокування ПДн - тимчасове припинення обробки ПДн (крім випадків, якщо обробка необхідна уточнення ПДн);

знищення ПДн - дії, внаслідок яких стає неможливим відновити зміст ПДн в ІСПДн та/або внаслідок яких знищуються матеріальні носії ПДн;

знеособлення ПДн - дії, у яких стає неможливим без використання додаткової інформації визначити належність ПДн конкретному суб'єкту ПДн;

інформаційна система персональних даних (ІСПДн) - сукупність ПДн, що містяться в базах даних і забезпечують їх обробку інформаційних технологійта технічних засобів;

транскордонна передача ПДн - передача ПДн на територію іноземної держави до органу влади іноземної держави, іноземної фізичної особи або іноземної юридичної особи.

1.3.

Дане Положення визначає порядок та умови обробки ПДН (далі за текстом - Оператора), включаючи порядок передачі ПДн третім особам, особливості автоматизованої та неавтоматизованої обробки ПДн, порядок доступу до ПДн, систему захисту ПДн, порядок організації внутрішнього контролю та відповідальність за порушення при обробці ПДн, інші питання.

1.4.

Дія цього Положення поширюється на всі процеси зі збирання, систематизації, накопичення, зберігання, уточнення, використання, поширення (у тому числі передачу), знеособлення, блокування, знищення ПДН, що здійснюються з використанням засобів автоматизації та без їх використання.

1.5.

Це Положення набирає чинності з моменту його затвердження Оператором та діє безстроково, до заміни його новим Положенням.

1.6.

Усі зміни до Положення вносяться наказом.

1.7.

Усі працівники Оператора повинні бути ознайомлені із цим Положенням під розпис.

Цілі та завдання обробки ПДН

2.1.

Обробка ПДН має обмежуватися досягненням конкретних, заздалегідь визначених та законних цілей. Не допускається обробка ПДН, несумісна з метою збору ПДн.

2.2.

Не допускається об'єднання баз даних, що містять ПДН, обробка яких здійснюється в цілях, несумісних між собою.

2.3.

Обробці підлягають лише ПДн, які відповідають цілям їхньої обробки.

2.4.

2.5.

Обробка ПДН співробітників Оператора може здійснюватися виключно з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні, навчанні та просуванні по службі, забезпечення особистої безпеки співробітників, контролю кількості та якості виконуваної роботи та забезпечення збереження майна Оператора.

2.6.

Основними цілями обробки ПДН є:

Додатковими цілями обробки ПДН є: .

2.7.

ИСПДн забезпечує вирішення наступних задач: .

Персональні дані, що обробляються в ІСПДн

3.1.

В ІСПДн обробляються ПДН наступних суб'єктів ПДН:

3.1.1.

співробітники Оператора;

3.1.2.

клієнти (споживачі послуг Оператора);

3.1.3.

індивідуальні підприємці – контрагенти Оператора;

3.1.4.

клієнти організацій, контрагентів Оператора (обслуговування корпоративних клієнтів);

3.2.

Цей перелік може переглядатися за необхідності.

3.3.

Персональні дані суб'єктів ПДН включають:

3.4.

Повні списки оброблюваних ПДн формуються у переліку ПДн, що підлягають захисту в ІСПДн Оператора.

Доступ до ПДН

4.1.

Співробітники Оператора, які в силу виконуваних службових обов'язків постійно працюють з ПДН, отримують допуск до необхідних категорій ПДН на строк виконання ними відповідних посадових обов'язків на підставі переліку осіб, допущених до роботи з ПДН, який затверджується Керівником Оператора. Перелік складено на основі Концепції інформаційної безпекита Політики інформаційної безпеки.

4.2.

Список осіб, які мають доступ до ПДН для інформаційної системи, має підтримуватись у актуальному стані.

4.3.

Оператором встановлено дозвільний порядок доступу до ПДН. Співробітникам Оператора надається доступ до роботи з ПДН виключно в межах та обсязі, необхідних для виконання ними своїх посадових обов'язків на підставі рішення Керівника

4.4.

Тимчасовий або разовий допуск до роботи з ПДН у зв'язку зі службовою необхідністю може бути отриманий співробітником Оператора за згодою Керівника.

4.5.

Доступ до ПДН третіх осіб, які не є співробітниками Оператора без згоди суб'єкта ПДн, заборонено, за винятком доступу співробітників органів виконавчої влади, що здійснюється в рамках заходів щодо контролю та нагляду за виконанням законодавства, реалізації функцій та повноважень відповідних органів державної влади. Надання інформації на запит або вимогу органу державної влади здійснюється з відома Керівника Оператора.

4.6.

Якщо співробітнику сторонньої організації необхідний доступ до ПДн Оператора, то необхідно, щоб у договорі зі сторонньою організацією були прописані умови конфіденційності ПДн та обов'язок сторонньої організації та її співробітників щодо дотримання вимог поточного законодавства в галузі захисту ПДн. Крім того, у разі доступу до ПДН осіб, які не є співробітниками Оператора, має бути отримана згода суб'єктів ПДН на надання їх ПДН третім особам. Зазначена згода не потрібна, якщо ПДН надаються з метою виконання цивільно-правового договору, укладеного Оператором із суб'єктом ПД.

4.7.

Доступ співробітника Оператора до ПДн припиняється з дати, припинення трудових відносин або дати зміни посадових обов'язків співробітника та/або виключення співробітника зі списку осіб, які мають право доступу до ПДн. У разі звільнення всі носії, які містять ПДН, які відповідно до посадових обов'язків перебували у розпорядженні працівника під час роботи, мають бути передані відповідній посадовій особі.

Основні вимоги щодо захисту ПДН

5.1.

При обробці ПДН в інформаційній системі має бути забезпечено:

а) проведення заходів, спрямованих на запобігання несанкціонованому доступу до персональних даних та/або передачі їх особам, які не мають права доступу до такої інформації;

б) своєчасне виявлення фактів несанкціонованого доступу до ПДН;

в) недопущення на технічні засоби автоматизованої обробки ПДн, у результаті може бути порушено їх функціонування;

г) можливість негайного відновлення ПДН, модифікованих чи знищених внаслідок несанкціонованого доступу до них;

д) постійний контроль за забезпеченням рівня захищеності ПДн.

5.2.

Оператор зобов'язаний вживати необхідних правових, організаційних, технічних та інших заходів для забезпечення безпеки ПДн.

5.3.

Для розробки вимог щодо забезпечення безпеки та впровадження системи забезпечення безпеки ПДн Оператором розроблено "Модель загроз безпеки ПДн при їх обробці в ІСПДн" на основі нормативно-методичного документа ФСТЕК Росії «Базова модель загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних».

5.4.

Оператором відповідно до керівного документа державних органів - Постановою Уряду РФ від 01.11.2012 № 1119 "Про затвердження вимог щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних"здійснено класифікацію ІСПДн Оператора.

5.5.

Комісією складено Акт класифікації ІСПДн, що обробляються з використанням засобів автоматизації:

Акт класифікації ІСПДн	Дата класифікації ІСПДн	Необхідний рівень захищеності

5.6.

Оператором на підставі Акту перевірки ІСПДн та відповідно до нормативно-методичного документа ФСТЕК Росії «Основні заходи щодо організації та технічного забезпечення безпеки персональних даних, що обробляються в інформаційних системах персональних даних» розроблено та впроваджено комплекс заходів щодо захисту та забезпечення безпеки ПДн ("План заходів із забезпечення безпеки ПДн").

5.7.

Оператором використовується технічні засоби та програмне обладнання для обробки та захисту ПДн. Також ведеться журнал обліку засобів захисту ПДН.

5.8.

Оператором ведеться журнал обліку та зберігання знімних носіїв інформації.

5.9.

Вищезазначені технічні засоби ИСПДн розміщуються в офісі та приміщеннях Оператора.

5.10.

Усі особи, допущені до роботи з ПДН, а також пов'язані з експлуатацією та технічним супроводом ІСПДН, повинні бути під розпис ознайомлені з вимогами цього Положення, а також повинні підписати «Угоду про забезпечення конфіденційності персональних даних співробітниками Оператора», наведену в Додатку до цього Положення.

5.11.

Оператором організовано процес навчання використання засобів захисту ПДН, що експлуатуються Оператором. Навчання за цим напрямком рекомендовано особам, які мають постійний доступ до ПДН, та особам, які експлуатують технічні та програмні засоби ІСПДн та засобів захисту ІСПДн. В обов'язковому порядку навчання мають проходити особи, відповідальні за експлуатацію засобів захисту інформації ІСПДН.

5.12.

Співробітники зобов'язані негайно повідомляти відповідної посадової особи Оператора про втрату або нестачу носіїв інформації, що становить ПДн, а також про причини та умови можливого витоку ПДн. У разі спроби сторонніх осіб отримати від співробітника ПДН, які обробляє Оператор негайно повідомити про це відповідне посадова особаОператор.

Згода на обробку ПДН

6.1.

Суб'єкт ПДН приймає рішення про надання своїх ПДн та дає згоду на їх обробку вільно, своєю волею та у своєму інтересі. Згода на обробку ПДН має бути конкретною, поінформованою та свідомою. Згода на обробку ПДн може бути дано суб'єктом ПДн або його представником у будь-якій формі, що дозволяє підтвердити факт її отримання, якщо інше не встановлено законодавством РФ. У разі отримання згоди на обробку ПДН від представника суб'єкта ПДн повноваження даного представника на дачу згоди від імені суб'єкта ПДн перевіряються Оператором.

6.2.

Отримання письмової згоди на обробку ПДн здійснюється співробітником Оператора, при отриманні ПДн від суб'єкта ПДн шляхом оформлення письмової згоди за формою, встановленою у Оператора ІСПДн.

Права суб'єкта щодо ПДн, які обробляє оператор

7.1.

Суб'єкт ПДН має право:

На отримання інформації від Оператора щодо обробки його ПДн. Відомості мають бути надані суб'єкту ПДн Оператором у доступній формі, і в них не повинні утримуватися ПДн, що належать до інших суб'єктів ПДн, за винятком випадків, коли є законні підстави для розкриття таких ПДн. Перелік відомостей та порядок отримання відомостей передбачений чинним законодавством РФ;

Вимагати від Оператора уточнення його ПДн, їх блокування чи знищення у разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки, а також вживати передбачених законодавством РФ заходів щодо захисту своїх прав;

На умову попередньої письмової згоди під час обробки ПДн з метою просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційним споживачем за допомогою засобів зв'язку, а також з метою політичної агітації;

на умову письмової згоди при прийнятті на підставі виключно автоматизованої обробки ПДН рішень Оператора, що породжують юридичні наслідки щодо суб'єкта ПДН або іншим чином зачіпають його права та законні інтереси;

Заявляти заперечення на рішення Оператора на підставі виключно автоматизованої обробки його ПДН та можливі юридичні наслідки такого рішення;

Оскаржити дії чи бездіяльність Оператора до уповноваженого органу захисту прав суб'єктів ПДН або в судовому порядку.

Права та обов'язки оператора ІСПДн

8.1.

Оператор ІСПДн має право:

8.1.1.

Доручити обробку ПДн іншій особі за згодою суб'єкта ПДн, якщо інше не передбачено федеральним законом, на підставі договору, що укладається з цією особою, в тому числі державного або муніципального контракту, або шляхом прийняття державним або муніципальним органом відповідного акта.

8.1.2.

Що стосується відкликання суб'єктом ПДн згоди на обробку ПДн, продовжити обробку ПДн без згоди суб'єкта ПДн за наявності підстав, зазначених у законодавстві РФ.

8.1.3.

Відмовити суб'єкту ПДн у виконанні повторного запиту відомостей, що не відповідає умовам, передбаченим законодавством України. Така відмова має бути мотивованою. Обов'язок надання доказів обґрунтованості відмови у виконанні повторного запиту лежить на операторі.

8.1.4.

Самостійно визначати склад та перелік заходів, необхідних та достатніх для забезпечення виконання обов'язків Оператора ІСПДН, передбачених законодавством РФ.

8.2.

Оператор ІСПДН зобов'язаний:

8.2.1.

Оператор на початок обробки ПДн зобов'язаний повідомити уповноважений орган захисту прав суб'єктів ПДн про намір здійснювати обробку ПДн, крім випадків, передбачених законодавством РФ.

8.2.2.

При отримання доступу до ПДН не розкривати третіх осіб і не поширювати ПДН без згоди суб'єкта ПДН, якщо інше не передбачено федеральним законом.

8.2.3.

Подати доказ отримання згоди суб'єкта ПДН на обробку його ПДН чи доказ наявності законних підстав, опрацювання ПДн без згоди суб'єкта ПДн.

8.2.4.

На початок здійснення транскордонної передачі ПДн переконатися у цьому, що іноземним державою, територію якого здійснюється передача ПДн, забезпечується адекватна захист прав суб'єктів ПДн.

8.2.5.

Припинити на вимогу суб'єкта ПДн обробку його ПДн з метою просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційним споживачем за допомогою засобів зв'язку, а також з метою політичної агітації.

8.2.6.

Роз'яснити суб'єкту ПДН порядок прийняття рішення на підставі виключно автоматизованої обробки його ПДН та можливі юридичні наслідки такого рішення, надати можливість заявити заперечення проти такого рішення, а також роз'яснити порядок захисту суб'єктом ПДН своїх прав та законних інтересів.

Оператор зобов'язаний розглянути заперечення протягом тридцяти днів з дня його отримання та повідомити суб'єкта ПДн про результати розгляду такого заперечення.

8.2.7.

При зборі ПДн, надати суб'єкту ПДн на його прохання інформацію, передбачену законодавством РФ.

Якщо надання ПДн Оператору суб'єкта ПДн є обов'язковим відповідно до федеральним законом, Оператор зобов'язаний роз'яснити суб'єкту ПДн юридичні наслідки відмови надати його ПДн.

8.2.8.

Якщо ПДн отримані немає від суб'єкта ПДн, Оператор, крім випадків, передбачених законодавством РФ, на початок обробки таких ПДн, надати суб'єкту ПДн таку інформацію:

1) найменування або прізвище, ім'я, по батькові та адресу оператора або його представника;

2) мета обробки ПДн та її правова основа;

3) передбачувані користувачі ПДН;

4) встановлені цим Законом права суб'єкта ПДн;

5) джерело отримання ПДн.

8.2.9.

Вживати заходів, необхідних та достатніх для забезпечення виконання обов'язків Оператора ІСПДН, передбачених законодавством РФ.

8.2.11.

При здійсненні збору ПДН з використанням інформаційно-телекомунікаційних мереж опублікувати у відповідній інформаційно-телекомунікаційній мережі документ, що визначає його політику щодо обробки ПДн, та відомості про реалізовані вимоги до захисту ПДн, а також забезпечити можливість доступу до зазначеного документа з використанням засобів відповідної інформаційно -телекомунікаційної мережі

8.2.12.

Подати документи та локальні акти, передбачені законодавством РФ, та/або іншим чином підтвердити вжиття заходів, необхідних та достатні для забезпечення виконання обов'язків Оператора ІСПДН, на запит уповноваженого органу захисту прав суб'єктів ПДн.

8.2.13.

При обробці ПДН вживати необхідних правових, організаційних та технічних заходів або забезпечувати їх вжиття для захисту ПДН від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, поширення ПДн, а також від інших неправомірних дій щодо ПДн.

8.2.14.

Повідомити у порядку, передбаченому законодавством РФ, суб'єкту ПДн або його представнику інформацію безоплатно про наявність ПДн, що належать до відповідного суб'єкта ПДн, а також надати можливість ознайомлення з цими ПДн при зверненні суб'єкта ПДн або його представника або протягом тридцяти днів з дати отримання запиту суб'єкта ПДН чи його представника.

8.2.15.

У разі відмови у наданні інформації про наявність ПДн про відповідний суб'єкт ПДн або ПДн суб'єкту ПДн або його представнику при їх зверненні або при отриманні запиту суб'єкта ПДн або його представника оператор зобов'язаний дати в письмовій формі мотивовану відповідь, що містить посилання на положення законодавства РФ, що є підставою для такої відмови, у строк, що не перевищує тридцяти днів з дня звернення суб'єкта ПДН або його представника або з дати отримання запиту суб'єкта ПДН або його представника.

8.2.16.

У строк, що не перевищує сім робочих днів з дня надання суб'єктом ПДН або його представником відомостей, що підтверджують, що ПДН є неповними, неточними або неактуальними, Оператор зобов'язаний внести до них необхідні зміни. У строк, що не перевищує сім робочих днів з дня подання суб'єктом ПДН або його представником відомостей, що підтверджують, що такі ПДН є незаконно отриманими або не є необхідними для заявленої мети обробки, оператор зобов'язаний знищити такі ПДН. Оператор зобов'язаний повідомити суб'єкта ПДН або його представника про внесені зміни та вжиті заходи та вжити розумних заходів для повідомлення третіх осіб, яким ПДн цього суб'єкта було передано.

8.2.17.

Повідомити в уповноважений орган захисту прав суб'єктів ПДН на запит цього органу необхідну інформацію протягом тридцяти днів з дати отримання такого запиту.

8.2.18.

У разі виявлення неправомірної обробки ПДН, що здійснюється Оператором або особою, яка діє за дорученням Оператора, Оператор у строк, що не перевищує трьох робочих днів з дати цього виявлення, зобов'язаний припинити неправомірну обробку ПДН або забезпечити припинення неправомірної обробки ПДн особою, яка діє за дорученням Оператора. У разі якщо забезпечити правомірність обробки ПДН неможливо, Оператор у строк, що не перевищує десяти робочих днів з дати виявлення неправомірної обробки ПДН, зобов'язаний знищити такі ПДН або забезпечити їхнє знищення. Про усунення допущених порушень або про знищення ПДН Оператор зобов'язаний повідомити суб'єкта ПДН або його представника, а у разі, якщо звернення суб'єкта ПДн або його представника або запит уповноваженого органу щодо захисту прав суб'єктів ПДН було направлено уповноваженим органом захисту прав суб'єктів ПДН, також зазначений орган .

8.2.19.

У разі досягнення мети обробки ПДн Оператор зобов'язаний припинити обробку ПДн або забезпечити її припинення (якщо обробка ПДн здійснюється іншою особою, що діє за дорученням Оператора) і знищити ПДн або забезпечити їх знищення (якщо обробка ПДн здійснюється іншою особою, що діє за дорученням Оператора) у строк , що не перевищує тридцяти днів з дати досягнення мети обробки ПДН, якщо інше не передбачено договором, стороною якого, вигодонабувачем або поручителем, за яким є суб'єкт ПДН, іншою угодою між Оператором та суб'єктом ПДн або якщо Оператор не вправі здійснювати обробку ПДН без згоди суб'єкта ПДн на підставах, передбачених законодавством РФ.

8.2.20.

У разі відкликання суб'єктом ПДН згоди на обробку його ПДн, припинити їх обробку або забезпечити припинення такої обробки (якщо обробка ПДн здійснюється іншою особою, яка діє за дорученням Оператора) і у разі, якщо збереження ПДн більше не потрібне для цілей обробки ПДн, знищити ПДн або забезпечити їх знищення (якщо обробка ПДН здійснюється іншою особою, яка діє за дорученням Оператора) у строк, що не перевищує тридцяти днів з дати надходження зазначеного відкликання, якщо інше не передбачено договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт ПДН, іншою угодою між оператором і суб'єктом ПДн або якщо Оператор немає права здійснювати обробку ПДн без згоди суб'єкта ПДн з підстав, передбачених законодавством РФ.

8.2.21.

Призначити особу, відповідальну організацію обробки ПДн.

Порядок обробки та захисту ПДН

9.1.

Забезпечення конфіденційності ПДН, що обробляються Оператором, є обов'язковою вимогою для всіх осіб, яким ПДН стали відомі.

9.2.

Співробітники Оператора, які здійснюють оформлення документів, зобов'язані отримувати у встановлених випадках згоду суб'єктів ПДН на обробку.

9.3.

У разі порушення встановленого порядку обробки ПДН співробітники Оператора відповідають відповідно до розділу 9 цього Положення.

9.4.

ПДн суб'єктів на паперових носіях, оброблювані Оператором, зберігаються у відділах (у співробітників), які мають допуск до обробки відповідних ПДн. Право допуску працівників до неавтоматизованого ІСПДн визначається наказом Керівника. Носії ПДн не повинні залишатися без нагляду. При залишанні робочого місця, працівники, що здійснюють обробку ПДН повинні, прибирати носії в сейф, шафу, що замикається, або іншим чином обмежувати несанкціонований доступ до носіїв. При втраті чи псуванні ПДн здійснюється наскільки можна їх відновлення.

9.5.

Місця зберігання документів, що містять ПДН:

9.5.1.

ПДн клієнтів Оператора (договори, акти, угоди, анкети, копії паспортів, інші подібні документи, що містять ПДн клієнтів Оператора, носії інформації (флеш-картки, CD-диски, тощо) зберігаються в основному та запасному офісах Оператора, розміщуються на полицях та замикаються на ключ. Відповідальна особа, яка здійснює контроль визначається наказом Керівника.

9.5.2.

ПДн співробітників Оператора - документи, носії інформації (флеш-карти, CD-диски тощо) зберігаються в сейфі компанії та замикаються на ключ. Відповідальна особа, яка здійснює контроль – Керівник Оператора.

9.6.

Видача документів для ознайомлення здійснюється особам, допущеним до відповідної інформації з метою виконання посадових обов'язків, на строк не більше одного робочого дня.

9.7.

Інші носії інформації можуть зберігатися в основному і запасному офісах Оператора, розміщуються на полицях і замикаються на ключ або в сейфі організації. Відповідальна особа, яка здійснює контроль за іншими носіями інформації, визначається наказом Керівника.

9.8.

При роботі з програмними засобами автоматизованої системи Оператора, що реалізує функції перегляду та редагування ПДн, забороняється демонстрація екранних форм, що містять такі дані, особам, які не мають відповідного допуску.

9.9.

При отриманні ПДН співробітником Оператора, який відповідно до посадових обов'язків отримує ПДН від клієнта, співробітника іншої особи обов'язково проводиться перевірка достовірності ПДн. Введення ПДн, отриманих Оператором, в інформаційну систему здійснюється співробітниками, які мають доступ до відповідних ПДн. Співробітники, які здійснюють введення інформації, несуть відповідальність за достовірність та повноту введеної інформації.

9.10.

Особливості обробки ПДн, що містяться на паперових носіях, без використання засобів автоматизації (при складанні документів не використовується ПЕОМ) встановлені відповідно до Постанови Уряду РФ від 15.09.2008 N 687 "Про затвердження Положення про особливості обробки персональних даних, що здійснюється без використання засобів автоматизації" .

9.11.

При неавтоматизованій обробці різних категорій ПДН слід використовувати окремий матеріальний носій для кожної категорії ПДн.

9.12.

При неавтоматизованій обробці ПДН на паперових носіях:

9.12.1.

Не допускається фіксація одному паперовому носії ПДн, мети обробки яких свідомо не сумісні;

9.12.2.

ПДн повинні відокремлюватися від іншої інформації, зокрема шляхом фіксації їх на окремих паперових носіях, спеціальних розділах або на полях форм (бланків);

9.13.

При використанні типових форм документів, характер інформації в яких передбачає або допускає включення до них ПДН (далі - типові форми), повинні дотримуватись таких умов:

9.13.1.

Типова форма або пов'язані з нею документи (інструкція щодо її заповнення, картки, реєстри та журнали) повинні містити відомості про мету неавтоматизованої обробки ПДН, ім'я (найменування) та адресу Оператора, прізвище, ім'я, по батькові та адресу суб'єкта ПДн, джерело отримання ПДн, терміни обробки ПДн, перелік дій з ПДн, які відбуватимуться у процесі їх обробки, загальний опис використовуваних оператором способів обробки ПДн;

9.13.2.

Типова форма повинна передбачати поле, в якому суб'єкт ПДН може поставити відмітку про свою згоду на неавтоматизовану обробку ПДН, - за необхідності отримання письмової згоди на обробку ПДН;

9.13.3.

Типова форма повинна бути складена таким чином, щоб кожен із суб'єктів ПДН, що містяться в документі, мав можливість ознайомитися зі своїми ПДН, що містяться в документі, не порушуючи прав та законних інтересів інших суб'єктів ПДН;

9.13.4.

Типова форма має виключати об'єднання полів, призначених для внесення ПДН, цілі обробки яких свідомо не сумісні.

9.14.

Зберігання ПДн має здійснюватися у формі, що дозволяє визначити суб'єкта ПДн, не довше, ніж цього вимагають мети обробки ПДн, якщо термін зберігання ПДн не встановлений федеральним законом, договором, стороною якого, вигодонабувачем або поручителем за яким є суб'єкт ПДН.

9.15.

Випадки знищення, блокування та уточнення ПДН:

9.16.

Знищення або знеособлення частини персональних даних, якщо це допускається матеріальним носієм, може здійснюватися у спосіб, що виключає подальшу обробку цих персональних даних із збереженням можливості обробки інших даних, зафіксованих на матеріальному носії (видалення, виморювання).

9.17.

Уточнення ПДн при здійсненні їх обробки без використання засобів автоматизації здійснюється шляхом оновлення або зміни даних на матеріальному носії, а якщо це не допускається технічними особливостями матеріального носія - шляхом фіксації на тому ж матеріальному носії відомостей про зміни, що вносяться в них, або шляхом виготовлення нового матеріального носія з уточненими ПДн.

9.18.

Знищення носіїв, що містять ПДН, здійснюється у такому порядку:

9.18.1.

ПДн на паперових носіях знищуються шляхом використання шредери (знищувачі документів), встановлених в офісі Оператора.

9.18.2.

ПДн, розміщені у пам'яті ПЕОМ знищуються шляхом видалення їх із пам'яті ПЕОМ.

9.18.3.

ПДн, розміщені на флеш-карті, CD-диску, іншому носії інформації знищуються шляхом видалення файлу з носія, за необхідності шляхом порушення працездатності флеш-карти або CD-диска.

9.19.

Про знищення носія інформації складається Акт (форми актів див. у додатках).

9.20.

Офіс, приміщення Оператора, після закінчення робочого дня та відсутності співробітників в офісі приміщеннях, повинні замикатися, вікна повинні бути зачинені, повинна бути включена сигналізація (за наявності).

9.21.

Мережеве обладнання, сервери слід розташовувати в місцях, недоступних для сторонніх осіб (у спеціальних приміщеннях, шафах, коробах).

9.22.

Прибирання приміщень та обслуговування технічних засобів ІСПДн повинно здійснюватися під контролем відповідальних за дані приміщення та технічні засоби осіб з дотриманням заходів, що виключають несанкціонований доступ до ПДН, носіїв інформації, програмних та технічних засобів обробки, передачі та захисту інформації ІСПДн.

9.23.

До обов'язків адміністраторів ІСПДн входить управління обліковими записами користувачів ІСПДн, підтримка штатної роботи ІСПДн, забезпечення резервного копіювання даних, а також встановлення та конфігурування апаратного та програмного забезпечення ІСПДн, не пов'язаного із забезпеченням безпеки ПДн в ІСПДн. Також, до обов'язків адміністраторів ІСПДн входить забезпечення відповідності порядку обробки та забезпечення безпеки ПДН в ІСПДн вимогам щодо конфіденційності, цілісності та доступності ПДН, що пред'являються до конкретної ІСПДн, та загальним вимогам щодо безпеки ПДН, встановлених федеральним законодавством.

9.24.

До обов'язків адміністраторів ІСПДн також входить установка, конфігурування та адміністрування апаратних та програмних засобів захисту інформації ІСПДн, облік та зберігання машинних носіїв ПДН, періодичний аудит журналів безпеки та аналіз захищеності ІСПДн, а також участь у службових розслідуваннях фактів порушення встановленого порядку обробки та забезпечення безпеки ПДн .

9.25.

З метою забезпечення розподілу повноважень, реалізації взаємного контролю та недопущення зосередження, критичних для безпеки ПДН, повноважень в однієї особи не рекомендується поєднувати ролі користувача ІСПДн та адміністратора ІСПДн в особі одного співробітника.

9.26.

Кваліфікаційні вимоги та детальний перелік прав та обов'язків адміністраторів ІСПДн закріплюються у відповідних посадових інструкціях, з якими співробітники, що призначаються на ці ролі, повинні бути ознайомлені під розпис.

9.27.

Організація внутрішнього контролю процесу обробки ПДн у Оператора здійснюється з метою вивчення та оцінки фактичного стану захищеності ПДн, своєчасного реагування на порушення встановленого порядку їх обробки, а також з метою вдосконалення цього порядку та забезпечення його дотримання.

9.28.

Заходи щодо здійснення внутрішнього контролю обробки та забезпечення безпеки ПДН спрямовані на вирішення наступних завдань:

9.28.1.

Забезпечення дотримання співробітниками Оператора вимог цього Положення та нормативно-правових актів, що регулюють сферу ПДН.

9.28.2.

Оцінка компетентності персоналу, задіяного у обробці ПДН.

9.28.3.

Забезпечення працездатності та ефективності технічних засобів ІСПДН та засобів захисту ПДН, їх відповідності вимогам уповноважених органів виконавчої влади з питань безпеки ПДН.

9.28.4.

Виявлення порушень встановленого порядку обробки ПДН та своєчасне запобігання негативних наслідківтаких порушень.

9.28.5.

Прийняття коригувальних заходів, спрямованих на усунення виявлених порушень як у порядку обробки ПДН, так і в роботі технічних засобів ІСПДн.

9.28.7.

Здійснення внутрішнього контролю за виконанням рекомендацій та вказівок щодо усунення порушень.

9.29.

Результати контрольних заходів оформляються актами і є підставою для розробки рекомендацій щодо вдосконалення порядку обробки та забезпечення безпеки ПДН, модернізації технічних засобів ІСПДн та засобів захисту ПДн, навчання та підвищення компетентності персоналу, задіяного в обробці ПДн.

Особливості управління ПДН співробітників оператора

10.1.

У цьому розділі встановлено додаткові правата обов'язки Оператора та працівників при обробці ПДН співробітників Оператора.

10.2.

ПДн співробітника - інформація, необхідна Оператору у зв'язку з трудовими відносинами і що стосується конкретного співробітника.

10.3.

Обробка ПДН працівника може здійснюватися виключно з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння працівників у працевлаштуванні, навчанні та просуванні по службі, забезпечення особистої безпеки співробітників, контролю кількості та якості виконуваної роботи та забезпечення збереження майна.

10.4.

Оператор не має права отримувати та обробляти ПДН співробітника про його членство в громадських об'єднанняхабо його профспілкової діяльності, крім випадків, передбачених федеральними законами;

10.5.

При прийнятті рішень, що зачіпають інтереси співробітника, Оператор не має права ґрунтуватися на ПДН співробітника, отриманих виключно внаслідок їхньої автоматизованої обробки або електронного отримання;

10.6.

Співробітники не повинні відмовлятися від своїх прав на збереження та захист таємниці;

10.7.

Оператор зобов'язується не повідомляти ПДН співробітника з комерційною метою без його письмової згоди;

10.8.

Оператор зобов'язується попередити співробітників Оператора, третіх осіб, які отримують ПДн співробітника (за його згодою), про те, що ці дані можуть бути використані лише з метою, для яких вони повідомлені, і вимагати від цих осіб підтвердження того, що це правило дотримано. Особи, які отримують ПДн співробітника, зобов'язані дотримуватися режиму секретності (конфіденційності). Режим конфіденційності забезпечується підписанням з особою угоди (Додаток до цього Положення). Дане положення не поширюється на обмін ПДН працівників у порядку, встановленому законодавством РФ;

10.9.

Доступ до ПДН співробітників здійснюється на підставі наказів та положень, затверджених Оператором.

10.10.

Оператор зобов'язується не вимагати інформацію про стан здоров'я співробітника, за винятком тих відомостей, які належать до питання про можливість виконання працівником трудової функції;

10.11.

Оператор зобов'язується передавати ПДн співробітника представникам співробітників у порядку, встановленому законодавством РФ, і обмежувати цю інформацію тільки тими ПДн співробітника, які необхідні для виконання зазначеними представниками їх функцій.

10.12.

Співробітник має право на визначення своїх представників для захисту своїх ПДН.

Відповідальність за порушення цього положення

11.1.

Керівництво Оператора несе відповідальність за незабезпечення конфіденційності ПДН та недотримання прав і свобод суб'єктів ПДН щодо їх ПДН, у тому числі прав на недоторканність приватного життя, особисту та сімейну таємницю.

11.4.

У випадках порушення встановленого порядку обробки та забезпечення безпеки ПДН, несанкціонованого доступу до ПДН, розкриття ПДн та нанесення Оператору, його співробітникам, клієнтам та контрагентам матеріальної чи іншої шкоди винні особи несуть цивільну, кримінальну, адміністративну, дисциплінарну та іншу передбачену законодавством Російської Федерації відповідальність.

Положення про обробку персональних даних працівників – це локальний нормативний акт, у якому відповідно до ст. 85 - 90 гол. 14 ТК РФ "Захист персональних даних працівника" встановлені вимоги, яких необхідно дотримуватися при обробці персональних даних працівника, гарантії їх захисту, правила зберігання та використання персональних даних, права працівника щодо захисту персональних даних та відповідальність роботодавця за порушення норм, що регулюють обробку та захист персональних даних даних працівника.

Положення про обробку персональних даних працівників затверджується та вводиться в дію наказом керівника підприємства та є обов'язковим для виконання всіма працівниками.

У розділі "Загальні положення" надається визначення мети, для якої створюється Положення про обробку персональних даних. Метою створення цього документа є забезпечення захисту персональних даних працівників від несанкціонованого доступу, неправомірного використання чи втрати. У цьому розділі представлений список документів, виходячи з яких розробляється це Положення (Конституція РФ, ТК РФ, КпАП РФ, ДК РФ, КК РФ, Федеральний закон " Про інформацію, інформатизації і захист інформації " ). Також у першій частині Положення визначається порядок затвердження та введення в дію цього Положення.

У другому розділі Положення - "Персональні дані працівника" надається визначення поняття "персональні дані". Відповідно до ТК РФ під персональними даними працівника розуміється інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника. Під інформацією про працівників розуміються відомості про факти, події та обставини їхнього життя, що дозволяють ідентифікувати особу працівника.

До персональних даних працівника належить така інформація:
- анкетні та біографічні дані;
- Відомості про освіту;
- відомості про трудовий та загальний стаж;
- Відомості про склад сім'ї;
- паспортні данні;
- відомості про військовий облік;
- Відомості про заробітну плату;
- відомості про соціальні пільги;
- найменування спеціальності;
- займана посада;
- відомості про наявність судимостей;
- адреса місця проживання;
- домашній телефон;
- місце роботи або навчання членів сім'ї та родичів;
- Зміст трудового договору;
- Склад декларованих відомостей про наявність матеріальних цінностей;
- зміст декларації, що подається до податкової інспекції;
- оригінали та копії наказів за особовим складом;
- індивідуальні відносини та трудові книжки;
- підстави до наказів з особового складу;
- справи, що містять матеріали щодо підвищення кваліфікації та перепідготовки співробітників, їх атестації, службових розслідувань;
- копії звітів, які направляються до органів статистики.

Персональні дані належать до категорії конфіденційної інформації. Роботодавець не має права вимагати від працівника надання інформації щодо інших осіб. Режим конфіденційності персональних даних знімається у випадках знеособлення або після 75 років терміну зберігання, якщо інше не визначено законом.

Опрацювання персональних даних. У цьому розділі визначається порядок роботи із персональними даними співробітників.

Персональні дані слід отримувати у самого працівника. Якщо персональні дані працівника можливо отримати лише у третьої сторони, то працівника має бути повідомлено про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець повинен повідомити працівника про цілі, передбачувані джерела та способи отримання персональних даних, а також про характер належних для отримання персональних даних та наслідки відмови працівника дати письмову згоду на їх отримання.

Роботодавець не має права вимагати у працівника дані про його політичні, релігійні та інші переконання та приватне життя, про членство у громадських об'єднаннях або його профспілкову діяльність, за винятком випадків, передбачених законодавством.

Під обробкою персональних даних працівника розуміється отримання, зберігання, комбінування, передача чи інше використання персональних даних.

При передачі персональних даних працівника повинні дотримуватися таких вимог:
- не повідомляти персональні дані працівника третій стороні без письмової згоди працівника, за винятком випадків, коли це необхідно з метою попередження загрози життю та здоров'ю працівника, а також у випадках, встановлених ТК РФ та іншими федеральними законами;
- не повідомляти персональні дані працівника з комерційною метою без його письмової згоди;
- попередити осіб, які отримують персональні дані працівника, про те, що ці дані можуть бути використані лише з метою, для яких вони повідомлені, та вимагати від цих осіб підтвердження того, що це правило дотримано. Особи, які отримують персональні дані працівника, повинні дотримуватися режиму таємності (конфіденційності). Це положення не поширюється на обмін персональними даними працівників у порядку, встановленому ТК РФ та іншими федеральними законами;
- дозволяти доступ до персональних даних працівників лише спеціально уповноваженим особам згідно з наказом щодо організації, при цьому зазначені особи повинні мати право отримувати лише ті персональні дані працівника, які необхідні для виконання конкретних функцій;
- не вимагати інформацію про стан здоров'я працівника, за винятком тих відомостей, які належать до питання про можливість виконання працівником трудової функції;
- передавати персональні дані працівника представникам працівників у порядку, встановленому законодавством, та обмежувати цю інформацію лише тими персональними даними працівника, які необхідні для виконання зазначеними представниками їх функцій.
У розділі "Доступ до персональних даних" визначається список працівників, які можуть мати доступ до цієї інформації. Такими співробітниками є:
- Керівник організації;
- керівники структурних підрозділів за напрямом діяльності (доступ до особистих даних лише працівників свого підрозділу);
- керівник нового підрозділу під час переведення співробітника з одного структурного підрозділу до іншого;
- Співробітники бухгалтерії;
- Співробітники служби управління персоналом.

Мають право доступу до персональних даних поза організацією державні та недержавні функціональні структури, наприклад:
- податкові органи;
- правоохоронні органи;
- органи статистики;
- страхові агенції;
- військкомати;
- органи соціального страхування;
- Пенсійні фонди;
- Підрозділи муніципальних органів управління.

Оскільки персональні дані є конфіденційною інформацією, у Положенні обов'язково має бути розділ "Захист персональних даних". Під захистом персональних даних розуміється низка заходів, що запобігають порушення доступності, цілісності, достовірності та конфіденційності персональних даних та, зрештою, що забезпечують достатньо надійну безпеку інформації в процесі управлінської та виробничої діяльності підприємства. Захист персональних даних працівника від неправомірного їх використання чи втрати має бути забезпечено роботодавцем з допомогою його коштів у порядку, встановленому федеральним законом.

Для забезпечення внутрішнього захисту персональних даних працівників необхідно дотримуватись таких заходів:
- обмежити склад працівників, функціональні обов'язки яких потребують використання конфіденційних знань;
- встановити суворий виборчий та обґрунтований розподіл документів та інформації між працівниками;
- раціонально розмістити робочі місця працівників, щоб виключити безконтрольне використання інформації, що захищається;
- ознайомити працівників з вимогами нормативно-методичних документів щодо захисту інформації та збереження таємниці;
- забезпечити необхідні умови у приміщенні для роботи з конфіденційними документами та базами даних;
- Забезпечити захист персональних даних співробітника на електронних носіях;
- визначити та регламентувати склад працівників, які мають право доступу (входу) до приміщення, в якому знаходиться обчислювальна техніка;
- Організувати процедуру знищення інформації;
- своєчасно виявляти порушення вимог дозвільної системи доступу працівниками підрозділу;
- проводити виховну та роз'яснювальну роботу зі співробітниками підрозділу щодо запобігання втраті цінних відомостей при роботі з конфіденційними документами;
- Не допускати видачу особових справ працівників на робочі місця керівників.

Для забезпечення зовнішнього захисту персональних даних також рекомендується розробити та встановити:
- порядок прийому, обліку та контролю діяльності відвідувачів;
- Пропускний режим організації;
- облік та порядок видачі посвідчень;
- Технічні засоби охорони, сигналізації;
- Порядок охорони території, будівель, приміщень, транспортних засобів;
- вимоги до захисту інформації при інтерв'юванні та співбесідах.

Розділ Положення про обробку персональних даних "Відповідальність за розголошення конфіденційної інформації, пов'язаної з персональними даними" констатує, що юридичні та фізичні особи, які відповідно до своїх повноважень володіють інформацією про громадян, які отримують та використовують її, несуть відповідальність відповідно до законодавства Російської Федерації за порушення режиму захисту, обробки та порядку використання цієї інформації.

Персональна відповідальність - одна з головних вимог щодо організації системи захисту персональної інформації та обов'язкова умова забезпечення ефективності цієї системи.

Стаття 90 ТК РФ встановлює відповідальність осіб, винних у порушенні норм, що регулюють отримання, обробку та захист персональних даних працівника.

Стаття 5.27 КоАП РФ встановлює відповідальність посадових осіб, які мають нести дисциплінарну, адміністративну, цивільно-правову чи кримінальну відповідальність відповідно до федеральних законів.

Стаття 5.39 КоАП РФ встановлює відповідальність посадових осіб за неправомірну відмову у наданні громадянину зібраних у встановленому порядку документів, матеріалів, які безпосередньо зачіпають права і свободи громадянина, або несвоєчасне подання таких документів і матеріалів, ненадання іншої інформації у випадках, передбачених законом, або надання громадянину неповної або свідомо недостовірної інформації - накладення адміністративного штрафу у розмірі від 5 до 10 мінімальних розмірівоплати праці

Відповідно до ДК РФ особи, які незаконними методами отримали інформацію, що становить службову таємницю, зобов'язані відшкодувати заподіяні збитки, причому такий самий обов'язок покладається і на працівників.

Порушення режиму захисту, обробки та порядку використання цієї інформації карається штрафом, або позбавленням права обіймати певні посади або займатися певною діяльністю, або арештом відповідно до КК РФ. Неправомірність діяльності органів державної влади та організацій зі збирання та використання персональних даних може бути встановлена ​​в судовому порядку.

Усі працівники та їх представники мають бути ознайомлені під розписку з Положенням про обробку персональних даних, що встановлює порядок обробки персональних даних працівників, а також про їхні права та обов'язки.

1.1. При обробці персональних даних Національний дослідницький університет «Вища школа економіки» (далі – НДУ ВШЕ, університет) виходить із необхідності забезпечення прав і свобод людини і громадянина відповідно до вимог законодавства Російської Федерації.

1.2. Дотримання Положення є основною умовою обробки персональних даних університетом і є обов'язковим для всіх працівників НДУ ВШЕ.

1.3. Метою Положення є забезпечення захисту права і свободи людини і громадянина під час обробки його персональних даних, зокрема захисту прав на недоторканність приватного життя, особисту та сімейну таємницю, визначення політики НДУ ВШЕ як оператора щодо обробки персональних даних. Положення регулює відносини НДУ ВШЕ та громадян, що виникають у зв'язку з опрацюванням їх персональних даних університетом.

1.4. НДУ ВШЕ вживає правові, організаційні та технічні заходи, необхідні для забезпечення виконання законодавства про персональні дані, або забезпечує їх прийняття.

1.5. Положення можуть вносити зміни без попереднього повідомлення суб'єктів персональних даних та інших осіб. Актуальна редакція Положення розміщена на корпоративному сайті (порталі) НДУ ВШЕ за адресою: .

1.6. Положення та зміни до нього затверджуються наказом ректора НДУ ВШЕ.

2. Терміни та визначення

2.1. Терміни та визначення, що використовуються в Положенні, наведені відповідно до Федерального закону від 27.07.2006 № 152-ФЗ «Про персональні дані» (далі – ФЗ «Про персональні дані») та інших нормативних правових актів Російської Федерації, а саме:

ПДн та їх категорії можуть відрізнятися за ступенем визначеності та визначальності суб'єкта ПДн та залежать від дійсної можливості визначення на їх основі конкретної людинита громадянина (суб'єкта).

Дані, які визначають особистість людини і громадянина, або дозволяють визначити таку особистість навіть із застосуванням будь-яких процедур , є ПДн, які обробка пов'язані з необхідністю дотримання законодавства Російської Федерації про ПДн. До вказаних даних можуть належати такі популярні відомості, як стать, вік, посада, професія, хобі та ін. та громадянина;

2.1.2. суб'єкти ПДн – фізичні особи, що визначаються або визначаються (що піддаються визначенню). До таких осіб можуть належати працівники, абітурієнти, учні та випускники НДУ ВШЕ, учасники олімпіад та інших заходів, що проводяться університетом, та інші особи;

2.1.3. працівник – фізична особа, яка вступила у трудові відносини з університетом;

2.1.4. що навчається – фізична особа, яка освоює освітню програму. Для цілей Положення до учнів відносяться також фізичні особи, які набувають будь-яких знань, умінь і навичок, формують компетенції, що задовольняють свої освітні потреби в інтелектуальному, духовно-моральному, фізичному та (або) професійному вдосконаленні в іншій формі, а також абітурієнти;

2.1.5. випускник – фізична особа, яка завершила освоєння освітньої програми;

2.1.6. обробка персональних даних (далі – обробка ПДН) – будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення, використання, передачу (розповсюдження, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;

2.1.7. оператор – державний або муніципальний орган, юридична або фізична особа, які самостійно або спільно з іншими особами організовують та (або) здійснюють обробку персональних даних, а також визначають цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними. Для цілей Положення оператором є НДВ ВШЕ;

2.1.8. законодавство про ПДН - Конституція Російської Федерації, Федеральний закон від 27.07.2006 № 152-ФЗ "Про персональні дані" та інші нормативні правові акти, що регулюють відносини, пов'язані з обробкою ПДн.

3. Умови обробки персональних даних

3.1. Отримуючи ПДН від працівників, які навчаються, інших осіб, зазначених у цьому Положенні, та починаючи їх зберігання, НДВ ВШЕ стає оператором. Обробка ПДН здійснюється НДУ ВШЕ з дотриманням принципів, умов та правил, передбачених законодавством про ПДН, у таких основних випадках:

3.1.1. обробка персональних даних здійснюється за згодою суб'єкта ПДН на обробку його ПДН. При цьому для обробки спеціальних категорій ПДН, що стосуються расової, національної приналежності, політичних поглядів, релігійних або філософських переконань, стану здоров'я, інтимного життя, біометричних ПДн, якщо обробка таких ПДн не суперечить локальним нормативним актам НДУ ВШЕ, так само як і для включення будь-яких ПДн у загальнодоступні джерела ПДн та/або передачі ПДн працівників третім особам необхідне отримання зазначеної згоди у письмовій формі або у формі електронного документа, підписаного посиленою кваліфікованою електронним підписом.

До зазначеного випадку відноситься, зокрема, обробка ПДН:

• претендентів на заміщення вакантних посад для цілей, обумовлених прийняттям рішення щодо їх кандидатур, у тому числі отримання інформації у попередніх роботодавців, забезпечення належного рівня безпеки при їх відвідуванні територій та приміщень, на яких розташований НДУ ВШЕ; формування та використання банку даних перспективних здобувачів;
• працівників НДУ ВШЕ з метою інформаційного забезпеченнядіяльності НДУ ВШЕ, у тому числі через ведення онлайн довідників, адресних книг, включаючи сторінку «Викладачі та співробітники» корпоративного сайту (порталу) НДУ ВШЕ, корпоративну інформаційну систему «Телефонний довідник» та інші загальнодоступні джерела ПДН; друку та розміщення інформаційних табличок; печатки та надання візитних карток; прийому, фіксації та виконання заявок, заяв, запитів та інших видів звернень суб'єктів ПДН; оформлення полісів обов'язкового соціального страхування, добровільного соціального страхування; забезпечення чинного в НДУ ВШЕ рівня безпеки, у тому числі чинного пропускного режиму та контролю його дотримання, відеоспостереження та відеозапису на території та у приміщеннях, на/в яких розташований НДУ ВШЕ; ідентифікації особи працівника НДУ ВШЕ; проведення в НДУ ВШЕ заходів та висвітлення інформації про них, у тому числі під час проведення відеозапису заходів, що проводяться; забезпечення можливості НДУ ВШЕ для оформлення відносин з кредитними організаціями, які відкривають та обслуговують платіжні картки для нарахування та перерахування заробітної плати; забезпечення можливості НДУ ВШЕ залучення третіх осіб для ведення кадрового, бухгалтерського та податкового обліку; забезпечення інформування про заходи, що проводяться НДУ ВШЕ, виконувані дослідження, реалізовані проекти та їх результати; просування товарів, робіт, послуг НДУ ВШЕ на ринку, у тому числі шляхом здійснення прямих контактів із суб'єктами ПДН за допомогою засобів зв'язку; забезпечення правової охорони інтелектуальної власності; виконання робіт, у тому числі науково-дослідних, дослідно-конструкторських та технологічних, та надання послуг на замовлення третіх осіб та у рамках виконання державного завдання, провадження експертно-аналітичної діяльності; статистичних та інших дослідних цілях, наукової та іншої творчої діяльності, що здійснюється у НДУ ВШЕ;
• колишніх працівників НДУ ВШЕ з метою забезпечення ретроспективи кадрового обліку; забезпечення інформування про заходи, що проводяться НДУ ВШЕ, виконувані дослідження, реалізовані проекти та їх результати; надання таким працівникам довідок, у тому числі для підтвердження стажу та розмірів заробітної плати; просування товарів, робіт, послуг НДУ ВШЕ на ринку, у тому числі шляхом здійснення прямих контактів із суб'єктами ПДН за допомогою засобів зв'язку;
• учасників проведених НДУ ВШЕ або з його безпосередньою участю пізнавальних, освітніх та наукових заходів з метою врахування кількості учасників, аналізу їх професійних інтересів, забезпечення чинного в НДУ ВШЕ рівня безпеки, в тому числі чинного пропускного режиму та контролю його дотримання, відеоспостереження та відеозапису на території та у приміщеннях, на/в яких розташований НДУ ВШЕ; забезпечення інформування про заходи, що проводяться НДУ ВШЕ, виконувані дослідження, реалізовані проекти та їх результати; просування товарів, робіт, послуг НДУ ВШЕ на ринку, у тому числі шляхом здійснення прямих контактів із суб'єктами ПДН за допомогою засобів зв'язку;
• що навчаються НДУ ВШЕ з метою розкриття та розвитку їх талантів та здібностей; ефективного формування освітніх траєкторій та впровадження в освітні процеси практико-орієнтованих компонентів, що підвищують якість підготовки та затребуваність успішних учнів на ринках праці; формування можливостей онлайн освітизокрема, за допомогою єдиного інформаційного освітнього середовища (LMS - Learning Management System) та інших платформ НДУ ВШЕ, у тому числі з передачею їх ПДН третім особам; обліку відвідуваності та успішності, а також визначення причин, які негативно впливають на такі; розміщення на корпоративному порталі (сайті) НДУ ВШЕ відомостей про проходження ними практик, підготовлених проміжних (курсових) та підсумкових контрольних (випускних кваліфікаційних) робіт, самих таких робіт, результатів поточного контролю успішності, проміжної, підсумкової та державної підсумкової атестації, для забезпечення відкритості та прозорості процесу їхнього оцінювання; забезпечення їх участі у виконанні робіт, у тому числі науково-дослідних, дослідно-конструкторських та технологічних робіт, та надання послуг на замовлення третіх осіб та у рамках виконання державного завдання; сприяння у працевлаштуванні, у тому числі з передачею їх ПДН третім особам; формування єдиної спільноти учнів підвищення інтересу і міждисциплінарної інтеграції; забезпечення інформування про заходи, що проводяться НДУ ВШЕ, виконувані дослідження, реалізовані проекти та їх результати; просування товарів, робіт, послуг НДУ ВШЕ на ринку, у тому числі шляхом здійснення прямих контактів із суб'єктами ПДН за допомогою засобів зв'язку;
• випускників НДУ ВШЕ з метою сприяння у працевлаштуванні, у тому числі з передачею їх ПДН третім особам; формування єдиної спільноти випускників, у тому числі для забезпечення можливості їх взаємодії з учнями (наставництва) та мотивації учнів; забезпечення інформування про заходи, що проводяться НДУ ВШЕ, виконувані дослідження, реалізовані проекти та їх результати; просування товарів, робіт, послуг НДУ ВШЕ на ринку, у тому числі шляхом здійснення прямих контактів із суб'єктами ПДН за допомогою засобів зв'язку;
• керівників та інших представників юридичних осіб – контрагентів або потенційних контрагентів за договорами, угодами та контрактами (далі в сукупності – договори) з метою підготовки до укладання договорів та виконання таких договорів, ведення обліку укладених договорів.

3.1.2. обробка ПДН необхідна для здійснення та виконання покладених законодавством Російської Федерації на НДУ ВШЕ як оператора функцій, повноважень та обов'язків, у тому числі:

• трудовим законодавством (включаючи законодавство про охорону праці), що складається з Трудового кодексуРосійської Федерації, інших федеральних законів та законів суб'єктів Російської Федерації, що містять норми трудового права;
• Правилами ведення реєстру договорів, укладених замовниками за результатами закупівлі, затвердженими ухвалою Уряду Російської Федерації від 31.10.2014 № 1132;
• Порядком проведення олімпіад школярів, затвердженим наказом Міністерства освіти і науки України від 04.04.2014 № 267;
• Порядком прийому на навчання за освітніми програмами вищої освіти- програмам бакалаврату, програмам спеціалісту, програмам магістратури, затвердженим наказом Міністерства освіти і науки Російської Федерації від 14.10.2015 № 1147;
• іншими нормативними правовими актами Російської Федерації.

До зазначеного випадку відноситься, зокрема, обробка ПДН працівників, які навчаються, абітурієнтів, учасників олімпіад та конкурсів, а також фізичних осіб- Контрагентів НДУ ВШЕ.

3.1.3. обробка ПДН необхідна для виконання договору, стороною якого або вигодонабувачем або поручителем за яким є суб'єкт ПДН, у тому числі у разі реалізації оператором свого права на поступку прав (вимог) за таким договором, а також для укладання договору з ініціативи суб'єкта ПДН чи договору, за яким суб'єкт ПДН буде вигодонабувачем або поручителем.

До зазначеного випадку відноситься, зокрема, обробка ПДН учнів на місцях за договорами про надання платних освітніх послуг, у тому числі тих, хто навчається за додатковими професійним програмам, інших одержувачів послуг та робіт НДУ ВШЕ, а також фізичних осіб – контрагентів НДУ ВШЕ. До зазначеного випадку обробки ПДН може також ставитися обробка, що здійснюється НДУ ВШЕ на підставі згоди на обробку ПДн, що надаються у зв'язку з укладенням зазначених договорів.

3.1.4. обробка ПДН необхідна для наукової, літературної чи іншої творчої діяльності за умови, що при цьому не порушуються права та законні інтереси суб'єкта персональних даних;

3.1.5. обробка ПДН здійснюється у статистичних чи інших дослідницьких цілях, за умови обов'язкового знеособлення ПДН;

3.1.6. здійснюється обробка ПДН, доступ необмеженого кола осіб до яких надано суб'єктом ПДН або на його прохання (ПДН, зроблені загальнодоступними суб'єктом ПДН).

3.2. Усі вищевказані ПДН суб'єктів, груп суб'єктів ПДН та інші ПДн обробляються в обсязі та в строки, передбачені відповідними згодами на обробку ПДН, у тому числі вираженими у тексті трудових та цивільно-правових договорів, та/або у нормативних правових актах, та/або локальних нормативних актах НДУ ВШЕ, та/або такими нормативними правовими актами та локальними нормативними актами НДУ ВШЕ, або у строки, необхідні для досягнення зазначених цілей. Вищеперелічені умови обробки ПДн є вичерпними. Надані згоди на обробку ПДН можуть доповнювати або змінювати іншим чином цілі, обсяг, способи та терміни обробки ПДН.

3.3. Обробка ПДн інших осіб здійснюється за наявності їх згоди, якщо вони фактично взаємодіють з НДУ ВШЕ, у тому числі у формі виникаючих або існуючих правовідносин. Якщо інше не зазначено в Положенні, укладених договорами або суб'єктами ПДн, що надаються, згодах на обробку ПДн, НДУ ВШЕ використовує такі ПДн виключно для цілей, для яких вони були надані університету, зокрема, з метою надання відповідей на питання, надання доступу до певної інформації та знанням.

3.4. Працівники НДУ ВШЕ, які обробляють ПДН в університеті, заздалегідь, до початку обробки ПДН, повинні переконатися в її допустимості та законності, переконатися щодо володіння університетом відповідними повноваженнями та/або згодами суб'єктів ПДН. За відсутності таких повноважень та/або згод зазначений працівник НДУ ВШЕ має забезпечити отримання згоди від суб'єкта, обробка ПДН якого планується. У зв'язку з цим він може:

• передбачати в різних електронних реєстраційних формах, листуванні електронною поштою та телефонними переговорами отримання згод на обробку ПДН від відповідних суб'єктів ПДН з обов'язковою фіксацією такої згоди у будь-якій формі, що дозволяє підтвердити факт її отримання, у тому числі з подальшим особистим підтвердженням надання згоди такими суб'єктами;
• застосовувати рекомендовану форму письмової згоди, розміщену на сторінці корпоративного сайту (порталу) НДУ ВШЕ за адресою: .

3.5. До працівників НДУ ВШЕ, які обробляють ПДН в університеті, за посадою належать:

• ректор;
• президент, віце-президент, науковий керівник;
• перші проректори, проректори, які у безпосередньому підпорядкуванні ректору;
• проректори, які перебувають у безпосередньому підпорядкуванні першим проректорам, старші директори та директори за напрямами діяльності;
• працівники Секретаріату університету;
• головний бухгалтер;
• працівники Управління персоналу;
• працівники Управління бухгалтерського обліку;
• працівники Планово-фінансового управління;
• працівники правового управління;
• працівники Управління віз та реєстрацій Дирекції з інтернаціоналізації;
• працівники Управління справами;
• працівники Управління з інформаційних ресурсів та управління розробки та підтримки інформаційних систем порталу Дирекції зі зв'язків із громадськістю та інформаційних ресурсів;
• працівники Управління по роботі з абітурієнтами та Управління додаткової освіти – щодо ПДН абітурієнтів;
• працівники Дирекції основних освітніх програм, Дирекції з професійної орієнтації та роботи з обдарованими учнями, Управління додаткової освіти, факультетів щодо ПДН учнів;
• працівники Дирекції з безпеки;
• працівники Дирекції інформаційних технологій та Управління розвитку інформаційних технологій.

Ректор, перші проректори, проректори, директори та старші директори можуть делегувати частину своїх повноважень іншим працівникам НДУ ВШЕ у порядку, передбаченому локальними нормативними актамиНДУ ВШЕ, а також визначати інших осіб, які відповідно до своєї трудової функції мають безпосереднє відношення до обробки ПДн.

3.6. Щоразу, коли отримання необхідної згоди на обробку ПДН неможливе і є достатні підстави вважати, що обробка ПДН може порушити права суб'єкта(-ів) ПДН, відповідний працівник НДУ ВШЕ повідомляє будь-яким фіксованим способом (на паперовому носії, за корпоративною електронною поштою, факсами) ) про це Управління персоналу НДУ ВШЕ (стосовно ПДН працівників), керівників структурних підрозділів, що реалізують освітні програми (щодо ПДн учнів), та/або Правове управління (стосовно ПДн інших суб'єктів) для вироблення обґрунтованого підходу до обробки ПДН або встановлення неможливості їхня обробка.

Керівники структурних підрозділів НДУ ВШЕ, у безпосередній діяльності яких відбувається обробка ПДН громадян, забезпечують вжиття всіх необхідних заходів щодо дотримання законності обробки ПДН, у тому числі отримання згод на обробку та, за необхідності, розробку локальних нормативних актів, що визначають умови обробки ПДН відповідних груп суб'єктів .

3.7. За відсутності вказівки на інше, надаючи свої ПДН університету, суб'єкт ПДН приймає умови Положення і тим самим вільно, своєю волею та у своєму інтересі розпоряджається ними, усвідомлює наслідки їх надання та висловлює свою згоду на їхню обробку з метою, для досягнення яких вони надаються, а також з метою дотримання НДУ ВШЕ нормативних та ненормативних правових актів, які приймаються в Російській Федерації; виконання рішень, доручень та запитів органів державної влади, які здійснюють окремі функції та повноваження засновника НДУ ВШЕ, а також інших органів державної влади та їх посадових осіб; забезпечення інформування про заходи, що проводяться НДУ ВШЕ, виконувані дослідження, реалізовані проекти та їх результати; просування товарів, робіт, послуг НДУ ВШЕ на ринку, у тому числі шляхом здійснення прямих контактів із суб'єктами ПДН за допомогою засобів зв'язку; здійснення НДУ ВШЕ статутної діяльності; а також акумуляції відомостей про осіб, що взаємодіють з НДУ ВШЕ, шляхом збору, запису, систематизації, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачі (розповсюдження, надання, доступу), знеособлення, блокування, видалення, знищення , що здійснюються, у тому числі з використанням засобів автоматизації. Обсяг оброблюваних ПДН у зазначеному випадку обмежується тими даними, які надані суб'єктами ПДН самостійно, а термін обробки ПДН становить 5 (п'ять) років з моменту їх надання.

Незважаючи на широкий перелік дій, допустимих з ПДН, на вчинення яких дається така згода, при обробці ПДН НДУ ВШЕ обмежується досягненням конкретних, заздалегідь визначених законних цілей і не допускає надмірності їх обробки.

НДУ ВШЕ утримується від продажу або надання у користування ПДН у будь-якій об'єктивній формі. Обробка ПДН у НДУ ВШЕ поза вищезазначених випадків, за відсутності згод суб'єктів ПДН з їхньої обробку, заборонена.

4. Доступ до персональних даних

4.1. До обробки ПДН у НДУ ВШЕ допускаються лише ті особи, які зазначені або визначені у Положенні, особи, яким у встановленому цим Положенням порядку делеговано відповідні повноваження, а також особи, чиї ПДН підлягають обробці.

4.2. Інші працівники НДУ ВШЕ можуть отримувати доступ до ПДН з метою читання та підготовки методичних, аналітичних, зведених та інших матеріалів щодо питань, що відносяться до діяльності таких осіб або структурних підрозділів НДУ ВШЕ, до яких вони належать. Доступ інших працівників НДУ ВШЕ до ПДН може бути здійснений виключно за умови надання університету зобов'язань таких осіб щодо збереження відповідних ПДН у таємниці.

4.3. Доступ до ПДН, які містяться в будь-яких електронних базах даних та в інформаційних системах університету, здійснюється на підставі рішення Старшого директора з інформаційних технологій або особи, яка його заміщає. В основі такого рішення лежить сукупність різних факторів, що впливають на можливість порушення законодавства про ПДН, зокрема можливість неправомірного доступу та поширення ПДн.

4.4. Особи, винні порушення порядку обробки ПДн, несуть передбачену законодавством Російської Федерації відповідальність. Щодо працівників НДУ ВШЕ, які порушили порядок обробки ПДН, можуть бути застосовані дисциплінарні стягнення.

5. Особливості захисту персональних даних працівників

5.1. Захист ПДН є прийняття правових, організаційних та технічних заходів, спрямованих на:

• забезпечення захисту ПДН від неправомірного доступу, знищення, модифікування, блокування, копіювання, надання, поширення, а також від інших неправомірних дій щодо ПДН;
• дотримання конфіденційності ПДН;
• реалізацію права доступу до ПДн.

5.2. Університет забезпечує ефективну роботу системи захисту ПДН, яка включає організаційні та (або) технічні заходи, визначені з урахуванням актуальних загроз безпеки ПДн та інформаційних технологій, що використовуються в інформаційних системах. Забезпечення захисту ПДН в університеті здійснюється Дирекцією інформаційних технологій Національного дослідницького університету "Вища школа економіки".

5.3. Захист ПДн працівників НДУ ВШЕ від неправомірного їх використання чи втрати забезпечується рахунок коштів університету гаразд, встановленому федеральним законом.

5.4. Захист ПДН, що зберігаються в електронних базах даних та в інформаційних системах університету, від несанкціонованого доступу, спотворення та знищення інформації, а також від інших неправомірних дій забезпечується розмежуванням прав доступу з використанням облікового записута системи паролів.

5.5. Організація зберігання ПДН в університеті здійснюється у порядку, що виключає їх втрату або їх неправомірне використання.

5.6. Організацію та контроль за захистом ПДН працівників університету здійснюють працівники НДУ ВШЕ, які обробляють ПДН в університеті за посадою, а також керівники відповідних структурних підрозділів, працівники яких обробляють ПДН в університеті за посадою.

5.7. Для регламентації доступу працівників НДУ ВШЕ до ПДН, документів, у тому числі електронних, інших матеріальних носіїв, баз даних та інформаційних систем, що містять ПДН, з метою виключення несанкціонованого доступу третіх осіб та захисту ПДН працівників перші проректори, проректори, директори та старші директори, а також керівники відповідних структурних підрозділів, працівники яких обробляють ПДН в університеті за посадою, зобов'язані дотримуватись та забезпечувати:

• обмеження та регламентацію складу працівників, трудові обов'язки яких потребують доступу до ПДН;
• суворий виборчий та обґрунтований розподіл документів, інших матеріальних носіїв, що містять ПДН, між працівниками;
• раціональне розміщення робочих місць працівників, у якому виключається безконтрольне використання ПДн;
• знання відповідними працівниками вимог нормативних правових та локальних нормативних актів щодо захисту інформації та збереження конфіденційності такої інформації;
• наявність необхідних умов у приміщенні для роботи з документами, іншими матеріальними носіями, базами даних та інформаційними системами, що містять ПДН;
• визначення та регламентацію складу працівників, які мають право доступу до баз даних та інформаційних систем, що містять ПДН;
• організацію порядку знищення матеріальних носіїв, що містять ПДН, та його дотримання;
• своєчасне виявлення порушення вимог дозвільної системи доступу до ПДН;
• роботу в структурному підрозділі щодо попередження втрати та розголошення ПДН при роботі з ними;
• обмеження доступу до документів, інших матеріальних носіїв, баз даних та інформаційних систем, що містять ПДН.

5.8. Для захисту ПДН працівників у НДУ ВШЕ забезпечується дотримання, зокрема:

• порядку прийому, обліку та контролю діяльності відвідувачів;
• пропускного режиму;
• обліку та порядку видачі перепусток;
• технічні засоби охорони, сигналізації;
• порядку охорони території, будівель, приміщень, транспортних засобів;
• вимог до захисту інформації при інтерв'юванні та співбесідах.

5.9. Усі заходи щодо забезпечення конфіденційності ПДн під час їх обробки поширюються як у матеріальні носії, і ПДн, подані в електронному форматі.

6. Права суб'єкта персональних даних

6.1. Університет не здійснює обробку ПДН без згоди суб'єктів ПДН та/або за межами умов обробки ПДН, зазначених у законодавстві про ПДН, якщо інше не встановлено законодавством Російської Федерації.

6.2. Суб'єкт ПДН має право ознайомитися з обсягом наданої їм НДВ ВШЕ згоди та, за необхідності, звернутися до зазначених у Положенні структурних підрозділів НДУ ВШЕ з метою вчинення інших дій, передбачених законодавством про ПДН.

6.3. Будь-який суб'єкт ПДн має право направити на адресу НДУ ВШЕ відкликання наданої їм згоди на обробку його ПДН у тій же формі, в якій така згода була отримана.

6.4. Суб'єкт ПДН може здійснювати інші права, передбачені законодавством про ПДН.

МІНІСТЕРСТВО ЗВ'ЯЗКУ І МАСОВИХ КОМУНІКАЦІЙ

РОСІЙСЬКОЇ ФЕДЕРАЦІЇ

ФЕДЕРАЛЬНА СЛУЖБА З НАГЛЯДУ У СФЕРІ ЗВ'ЯЗКУ,

ПРО ЗАТВЕРДЖЕННЯ ПОЛОЖЕННЯ

ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І МАСОВИХ КОМУНІКАЦІЙ

Відповідно до Федерального закону від 27 липня 2006 р. N 152-ФЗ "Про персональні дані" (Збори законодавства Російської Федерації, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439 2011, ст. ) і підпунктом "б" пункту 1 Переліку заходів, спрямованих на забезпечення виконання обов'язків, передбачених Федеральним законом "Про персональні дані" та прийнятими відповідно до нього нормативними правовими актами, операторами, що є державними або муніципальними органами, затвердженого постановою Уряду Російської Федерації від 21 березня 2012 р. N 211 (Збори законодавства Російської Федерації, 2012, N 14, ст. 1626), наказую:

1. Затвердити Положення про обробку та захист персональних даних, що додається, в центральному апараті Федеральної служби з нагляду у сфері зв'язку, інформаційних технологій і масових комунікацій.

2. Визнати таким, що втратив чинність, наказ Федеральної служби з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій від 13 квітня 2011 р. N 246 "Про затвердження Положення про обробку персональних даних у центральному апараті Федеральної служби з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій" (зареєстрований Міністерством юстиції Російської Федерації 17 травня 2011 р., реєстраційний N 20757).

3. Направити цей наказ на державну реєстрацію до Міністерства юстиції Російської Федерації.

Керівник

А.А.ЖАРОВ

додаток

до наказу Федеральної служби

з нагляду у сфері зв'язку,

інформаційних технологій

масових комунікацій

ПОЛОЖЕННЯ

ПРО ОБРОБКУ ТА ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У ЦЕНТРАЛЬНОМУ

АПАРАТЕ ФЕДЕРАЛЬНОЇ СЛУЖБИ З НАГЛЯДУ У СФЕРІ ЗВ'ЯЗКУ,

ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І МАСОВИХ КОМУНІКАЦІЙ

I. Загальні положення

1.1. Положення про обробку та захист персональних даних у центральному апараті Федеральної служби з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій (далі - Положення) визначає цілі, зміст та порядок обробки персональних даних, заходи, спрямовані на захист персональних даних, а також процедури, спрямовані на виявлення та запобігання порушенням законодавства Російської Федерації в галузі персональних даних у центральному апараті Федеральної служби з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій (далі - Роскомнагляд).

1.2. Це Положення визначає політику центрального апарату Роскомнагляду як оператора, який здійснює обробку персональних даних, щодо обробки та захисту персональних даних.

1.3. Це Положення розроблено відповідно до Трудового кодексу Російської Федерації (Збори законодавства Російської Федерації, 2002, N 1, ст. 3; N 30, ст. 3014, 3033; 2003, N 27, ст. 2700; 2004, N 18, ст. ст. 1690, ст. N 17, ст. ; N 30, ст . , N 46, ст. ст. 3880, ст. ;N 14, ст. 1553; N 18; 1; N 18 ст. 1721; N 30, ст. 3029; N 44, ст. 4295, 4298; 2003, N 27, ст. 2700, 2708, 2717; N 46, ст. 4434, 4440; N 50 ст. 4847, 4855; N 52, ст. 5037; 2004, N 19, ст. 1838; N 30, ст. 3095; N 31, ст. 3229; N 34 ст. 3529, 3533; N 44, ст. 4266; 2005, N 1, ст. 9, 13, 37, 40, 45; N 10 ст. 762, 763; N 13 ст. 1077, 1079; N 17, ст. 1484; N 19 ст. 1752; N 25, ст. 2431; N 27, ст. 2719, 2721; N 30, ст. 3104; N 30, ст. 3124, 3131; N 40, ст. 3986; N 50 ст. 5247; N 52, ст. 5574, 5596; 2006, N 1, ст. 4, 10; N 2, ст. 172, 175; N 6, ст. 636; N 10 ст. 1067; N 12, ст. 1234; N 17, ст. 1776; N 18 ст. 1907; N 19 ст. 2066; N 23, ст. 2380, 2385; N 28, ст. 2975; N 30, ст. 3287; N 31, ст. 3420, 3432, 3433, 3438, 3452; N 43, ст. 4412; N 45 ст. 4633, 4634, 4641; N 50 ст. 5279, 5281; N 52, ст. 5498; 2007, N 1, ст. 21, 25, 29, 33; N 7 ст. 840; N 15 ст. 1743; N 16 ст. 1824, 1825; N 17, ст. 1930; N 20, ст. 2367; N 21, ст. 2456; N 26, ст. 3089; N 30, ст. 3755; N 31, ст. 4001, 4007, 4008, 4009, 4015; N 41, ст. 4845; N 43, ст. 5084; N 46, ст. 5553; N 49, ст. 6034, 6065; N 50 ст. 6246; 2008, N 10, ст. 896; N 18 ст. 1941; N 20, ст. 2251, 2259; N 29, ст. 3418; N 30, ст. 3582, 3601, 3604; N 45 ст. 5143; N 49, ст. 5738, 5745, 5748; N 52, ст. 6227, 6235, 6236, 6248; 2009, N 1, ст. 17; N 7 ст. 771, 777; N 19 ст. 2276; N 23, ст. 2759, 2767, 2776; N 26, ст. 3120, 3122, 3131, 3132; N 29, ст. 3597, 3599, 3635, 3642; N 30, ст. 3735, 3739; N 45 ст. 5265, 5267; N 48, ст. 5711, 5724, 5755; 2010, N 1, ст. 1; N 11, ст. 1169, 1176; N 15 ст. 1743, 1751; N 18 ст. 2145; N 19 ст. 2291; N 21, ст. 2524, 2525, 2526, 2530; N 23, ст. 2790; N 25, ст. 3070; N 27, ст. 3416, 3429; N 28, ст. 3553; N 30, ст. 4000, 4002, 4005, 4006, 4007; N 31, ст. 4155, 4158, 4164, 4191, 4192, 4193, 4195, 4198, 4206, 4207, 4208; N 32, ст. 4298; N 41, ст. 5192, 5193; N 46, ст. 5918; N 49, ст. 6409; N 50 ст. 6605; N 52, ст. 6984, 6995, 6996; 2011, N 1, ст. 10, 23, 29, 33, 47, 54; N 7 ст. 901; N 15 ст. 2039, 2041; N 17, ст. 2310, 2312; N 19 ст. 2714, 2715; N 23, ст. 3260, 3267; N 27, ст. 3873, 3881; N 29, ст. 4289, 4290, 4291, 4298; N 30, ст. 4573, 4574, 4584, 4585, 4590, 4591, 4598, 4600, 4601, 4605; N 45 ст. 6325, 6326, 6334; N 46, ст. 6406; N 47, ст. 6601, 6602; N 48, ст. 6730, 6732; N 49, ст. 7025, 7042, 7056, 7061; N 50 ст. 7342, 7345, 7346, 7351, 7352, 7355, 7362, 7366; 2012, N 6, ст. 621; N 10 ст. 1166; N 15 ст. 1723, ст. 1724; N 18 ст. 2126, ст. 2128; N 19 ст. 2278; N 24, ст. 3068, ст. 3069, ст. 3082; N 29, ст. 3996; N 31, ст. 4320, ст. 4322, ст. 4330; N 41, ст. 5523), Федеральним законом від 27 липня 2006 р. N 152-ФЗ "Про персональні дані" (Збори законодавства Російської Федерації, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439 2011, ст. ) (далі - Федеральний закон "Про персональні дані"), Федеральним законом від 27 липня 2006 р. N 149-ФЗ "Про інформацію, інформаційні технології та про захист інформації" (Збори законодавства Російської Федерації, 2006, N 31, ст. 3448 ; 2010, N 31, N 30, N 30; системі державної служби Російської Федерації" (Збори законодавства Російської Федерації, 2003, N 22, ст. 2063; N 46, ст. 4437; 2006, N 29, ст. 3123; 2007, N 49, ст. 6070; 2011, N 1, ст. 31; N 50, ст. 7337) (далі - Федеральний закон "Про систему державної служби Російської Федерації"), Федеральним законом від 27 липня 2004 р. N 79-ФЗ "Про державну цивільну службу Російської Федерації" (Збори законодавства Російської Федерації, 2004, N 10, ст. N 30, ст. N 7, ст. 704; Про державну цивільну службу Російської Федерації"), Федеральним законом від 25 грудня 2008 р. N 273-ФЗ "Про протидію корупції" (Збори законодавства Російської Федерації, 2008, N 52, ст. 6228; 2011, N 29, ст. 4291; N 48, ст. 6730) (далі - Федеральний закон "Про протидію корупції"), Федеральним законом від 27 липня 2010 р. N 210-ФЗ "Про організацію надання державних та муніципальних послуг" (Збори законодавства Російської Федерації, 2010, N 31, ст. 4179; 2011, N 29, ст. закон "Про організацію надання державних та муніципальних послуг"), Федеральним законом від 2 вересня 2006 р. N 59-ФЗ "Про порядок розгляду звернень громадян Російської Федерації" (Збори законодавства Російської Федерації, 2006, N 19, ст. 2060; 2010, N 27, ст. 3410; N 31, ст. Федерації, 2003, N 28, ст. 636; N 10 ст. 1069; N 31, ст. 3431, ст. 3452; 2007, N 1, ст. 8; N 7 ст. 835; 2008, N 18, ст. 1941; 2009, N 29, ст. 3625; 2010, N 7, ст. 705; N 15 ст. 1737; N 27, ст. 3408; N 31, ст. 4190; 2011, N 7, ст. 901; N 9 ст. 1205; N 25, ст. 3535; N 27, ст. 3873, ст. 3880; N 29, ст. 4284, ст. 4291; N 30, ст. 4590; N 45 ст. 6333; N 49, ст. 7061; N 50 ст. 7351, ст. 7366; 2012, N 31, ст. 4328), Федеральним законом від 4 травня 2011 р. N 99-ФЗ "Про ліцензування окремих видів діяльності" (Збори законодавства Російської Федерації, 2011, N 19, ст. 2716; N 30, ст. 4590; N 43, ст. 5971; N 48, ст. 6728; 2012, N 26, ст. 3446; N 31, ст. 4322) (далі - Федеральний закон "Про ліцензування окремих видів діяльності"), Законом Російської Федерації від 27 грудня 1991 р. N 2124-1 "Про засоби масової інформації" (російська газета , 1992, 8 лютого, N 32; Відомості Верховної Ради України, 1995, N 3, ст. 169; N 24, ст. 2256; N 30, ст. 2870; 1996, N 1, ст. 4; 1998, N 10, ст. 1143; 2000, N 26, ст. 2737; N 32, ст. 3333; 2001, N 32, ст. 3315; 2002, N 12, ст. 1093; N 30, ст. 3029, ст. 3033; 2003, N 27, ст. 2708; N 50 ст. 4855; 2004, N 27, ст. 2711; N 35 ст. 3607; N 45 ст. 4377; 2005, N 30, ст. 3104; N 31, ст. 3452; 2006, N 43, ст. 4412; 2007, N 31, ст. 4008; 2008, N 52, ст. 6236; 2009, N 7, ст. 778; 2011, N 25, ст. 3535; N 29, ст. 4291; 2012, N 31, ст. 4322) (далі - Закон Російської Федерації "Про засоби масової інформації"), Указом Президента Російської Федерації від 1 лютого 2005 р. N 112 "Про затвердження Положення про конкурс на заміщення вакантної посади державної цивільної служби Російської Федерації" (Збори законодавства України, 2005, N 6, ст. 439; 2011, N 4, ст. Відомості Верховної Ради України, 2005, N 23, ст. 2242, 2008, N 43, ст. комунікацій" (Збори законодавства Російської Федерації, 2009, N 12, ст. 1431; 2010, N 13, ст. 1502; N 26, ст. 3350; 2011, N 3, ст. 542; N 6, ст. 888; N 14 ст. 1935; N 40, ст. 5548; N 44, ст. 6272; 2012, N 20, ст. 2540; N 39, ст. 5270), постановою Уряду Російської Федерації від 1 листопада 2012 р. N 1119 "Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних" (Збори законодавства України, 2012, N 45, ст. 6257), постановою Уряду Російської Федерації від 6 липня 2008 р. N 512 "Про затвердження вимог до матеріальних носіїв біометричних персональних даних та технологій зберігання таких даних поза інформаційними системами персональних даних" (Збори законодавства Російської Федерації, 2008, N 28, ст. 3384), постановою Уряду Російської Федерації Федерації від 15 вересня 2008 р. N 687 "Про затвердження Положення про особливості обробки персональних даних, що здійснюється без використання засобів автоматизації" (Збори законодавства Російської Федерації, 2008, N 38, ст. 4320), постановою Уряду Російської Федерації від 21 березня 2012 р. N 211 "Про затвердження переліку заходів, спрямованих на забезпечення виконання обов'язків, передбачених Федеральним законом "Про персональні дані" та прийнятими відповідно до нього нормативними правовими актами, операторами, які є державними або муніципальними органами" (Збори законодавства Російської Федерації, 2012, N 14, ст. 1626), постановою Уряду Російської Федерації від 10 вересня 2009 р. N 723 "Про порядок введення в експлуатацію оброблених державних інформаційних систем" (Збори законодавства Російської Федерації, 2009, N 37, ст. 4416; 2012, N 27, ст. , N 6, ст. 7104) (далі - постанова Уряду Російської Федерації "Про надання федеральним державним цивільним службовцям одноразової субсидії на придбання житлового приміщення"), розпорядженням Уряду Російської Федерації від 26 травня 2005 р. N 667-р про затвердження форми анкети, що підлягає поданню до державного органу Російської Федерації, який виявив бажання брати участь у конкурсі на заміщення вакантної посади державної цивільної служби Російської Федерації (Збори законодавства Російської Федерації, 2005, N 22, ст. 2192; 2007, N 43, ст. 5264), розпорядженням Уряду Російської Федерації від 6 жовтня2 р. N 1752-р про затвердження переліку документів, що додаються заявником до заяви про реєстрацію (перереєстрацію) засоби масової інформації (Збори законодавства Російської Федерації, 2011, N 41, ст. 5789), наказом ФСТЕК Росії, ФСБ Росії, Мінінформзв'язку України від 13 лютого 2008 р. N 55/86/20 "Про затвердження Порядку проведення класифікації інформаційних систем персональних даних" (зареєстрований Міністерством юстиції Російської Федерації 3 квітня 2008 р., реєстраційний N 11462).

1.4. Обробка персональних даних у центральному апараті Роскомнагляду здійснюється з дотриманням принципів та умов, передбачених цим Положенням та законодавством Російської Федерації у сфері персональних даних.

ІІ. Умови та порядок обробки персональних даних

державних цивільних службовців Роскомнагляду

2.1. Персональні дані державних цивільних службовців центрального апарату Роскомнагляду, керівників та заступників керівників територіальних органів Роскомнагляду (далі - державних службовців Роскомнагляду), громадян, які претендують на заміщення посад державної цивільної служби центрального апарату Роскомнагляду та керівників та заступників керівників на заміщення посад державної служби Роскомнагляду), осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, які претендують на заміщення посад керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, обробляються з метою забезпечення кадрової роботи, в тому числі службовцям Роскомнагляду у проходженні державної служби (особам, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, з метою сприяння виконання роботи), формування кадрового резерву державної цивільної служби, навчання та посадового зростання, обліку результатів виконання державними службовцями безпеки Роскомнагляду посадових осіб державних службовців Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, і членів їхньої сім'ї, забезпечення державним службовцем Роскомнагляду встановлених законодавством Російської Федерації умов праці, гарантій і компенсацій, збереження належного їм майна, а також з метою протидії.

2.2. З метою, зазначених у пункті 2.1 цього Положення, обробляються такі категорії персональних даних державних службовців Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, громадян, які претендують на заміщення посад державної служби Роскомнагляду, а також громадян, які претендують на заміщення підвідомчих Роскомнагляду федеральних державних унітарних підприємств:

2.2.1. прізвище, ім'я, по батькові (у тому числі попередні прізвища, імена та (або) по-батькові, у разі їх зміни);

2.2.2. число, місяць, рік народження;

2.2.3. місце народження;

2.2.4. інформація про громадянство (зокрема попередні громадянства, інші громадянства);

2.2.5. вид, серія, номер документа, що засвідчує особу, найменування органу, який його видав, дата видачі;

2.2.6. адресу місця проживання (адреса реєстрації, фактичного проживання);

2.2.7. номер контактного телефону або інформацію про інші способи зв'язку;

2.2.8. реквізити страхового свідоцтва про державне пенсійне страхування;

2.2.9. ідентифікаційний номер платника податків;

2.2.10. реквізити страхового медичного полісу обов'язкового медичного страхування;

2.2.11. реквізити свідоцтва про державну реєстрацію актів цивільного стану;

2.2.12. сімейний стан, склад сім'ї та відомості про близьких родичів (у тому числі колишніх);

2.2.13. відомості про трудову діяльність;

2.2.14. відомості про військовий облік та реквізити документів військового обліку;

2.2.15. відомості про освіту, у тому числі про післявузівську професійній освіті(найменування та рік закінчення освітньої установи, найменування та реквізити документа про освіту, кваліфікація, спеціальність за документом про освіту);

2.2.16. відомості про вчений ступінь;

2.2.17. інформація про володіння іноземними мовами, Ступінь володіння;

2.2.18. медичний висновок за встановленою формою про відсутність у громадянина захворювання, що перешкоджає надходженню на державну цивільну службу або її проходженню;

2.2.19. Світлина;

2.2.20. відомості про проходження державної цивільної служби, у тому числі: дата, підстави надходження на державну цивільну службу та призначення на посаду державної цивільної служби, дата, підстави призначення, переведення, переміщення на іншу посаду державної цивільної служби, найменування посад державної цивільної служби із зазначенням структурних підрозділів, розміру грошового утримання, результатів атестації на відповідність посади державної цивільної служби, що заміщується, а також відомості про колишнє місце роботи;

2.2.21. інформація, що міститься у службовому контракті, додаткові угодидо службового договору;

2.2.22. відомості про перебування за кордоном;

2.2.23. інформація про класний чин державної цивільної служби Російської Федерації (у тому числі дипломатичний ранг, військове або спеціальне звання, класний чин правоохоронної служби, класний чин цивільної служби суб'єкта Російської Федерації), кваліфікаційний розряд державної цивільної служби (кваліфікаційний розряд або класний чин муніципальної служби);

2.2.24. інформація про наявність чи відсутність судимості;

2.2.25. інформація про оформлені допуски до державної таємниці;

2.2.26. державні нагороди, інші нагороди та відзнаки;

2.2.27. відомості про професійну перепідготовку та (або) підвищення кваліфікації;

2.2.28. інформація про щорічні оплачувані відпустки, навчальні відпустки та відпустки без збереження грошового утримання;

2.2.29. відомості про доходи, про майно та зобов'язання майнового характеру;

2.2.30. номер розрахункового рахунку;

2.2.31. номер банківської карти;

2.2.32. інші персональні дані, необхідні досягнення цілей, передбачених пунктом 2.1 цього Положення.

2.3. Обробка персональних даних та біометричних персональних даних державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, які претендують на заміщення посад керівників підвідомчих без згоди зазначених осіб у рамках цілей, визначених пунктом 2.1 цього Положення, відповідно до пункту 2 частини 1 статті 6 та частини 2 статті 11 Федерального закону"Про персональні дані" та положеннями Федерального закону "Про систему державної служби Російської Федерації", Федерального закону "Про державну цивільну службу Російської Федерації", Федерального закону "Про протидію корупції", Трудовим кодексом Російської Федерації.

2.4. Обробка спеціальних категорій персональних даних державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, які претендують на заміщення посад керівників підвідомчих зазначених осіб у межах цілей, визначених пунктом 2.1 цього Положення, відповідно до підпункту 2.3 пункту 2 частини 2 статті 10 Федерального закону "Про персональні дані" та положень Трудового кодексу Російської Федерації, за винятком випадків отримання персональних даних працівника у третьої сторони (відповідно до з пунктом 3 статті 86 Трудового кодексу Російської Федерації потрібна письмова згода керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств та громадян, які претендують на заміщення зазначеної посади).

2.5. Обробка персональних даних державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, які претендують на заміщення посад керівників підвідомчих зазначених осіб у таких випадках:

2.5.1. під час передачі (розповсюдження, надання) персональних даних третім особам у випадках, не передбачених чинним законодавством Російської Федерації про державну цивільну службу;

2.5.2. при транскордонній передачі персональних даних;

2.5.3. при прийнятті рішень, що породжують юридичні наслідки щодо зазначених осіб або іншим чином зачіпають їхні права та законні інтереси, на підставі виключно автоматизованого оброблення їх персональних даних.

2.6. У випадках, передбачених пунктом 2.5 цього Положення, згода суб'єкта персональних даних оформляється у письмовій формі, якщо інше не встановлено Федеральним законом "Про персональні дані".

2.7. Обробка персональних даних державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, що претендують на заміщення посад керівників підвідомчих Роскомнагляду федеральних кадрів Управління організаційної роботи Роскомнагляду (далі - кадровий підрозділ Роскомнагляду) і включає наступні дії: збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ), знеособлення , блокування, видалення, знищення персональних даних

2.8. Збір, запис, систематизація, накопичення та уточнення (оновлення, зміна) персональних даних державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, претендентів керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, здійснюється шляхом:

2.8.1. отримання оригіналів необхідних документів(Заява, трудова книжка, автобіографія, інші документи, що подаються до кадрового підрозділу Роскомнагляду);

2.8.2. копіювання оригіналів документів;

2.8.3. внесення відомостей до облікових форм (на паперових та електронних носіях);

2.8.4. формування персональних даних у ході кадрової роботи;

2.8.5. внесення персональних даних до інформаційних систем Роскомнагляду, які використовуються кадровим підрозділом Роскомнагляду.

2.9. Збір, запис, систематизація, накопичення та уточнення (оновлення, зміна) персональних даних здійснюється шляхом отримання персональних даних безпосередньо від державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств також громадян, які претендують на заміщення посад керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств.

2.10. У разі виникнення необхідності отримання персональних даних державного службовця Роскомнагляду та осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, у третьої сторони, слід повідомити про це державного службовця або особу, яка заміщає посаду керівника підвідомчого Роскомнагляду федерального державного унітарного згоду та повідомити їм про цілі, передбачувані джерела та способи отримання персональних даних.

2.11. Забороняється отримувати, обробляти та долучати до особової справи державного службовця Роскомнагляду та особи, яка заміщає посаду керівника підвідомчого Роскомнагляду федерального державного унітарного підприємства персональні дані, не передбачені пунктом 2.2 цього Положення, у тому числі стосовно расової, національної належності, політичних поглядів , інтимного життя.

2.12. При зборі персональних даних співробітник кадрового підрозділу Роскомнагляду, який здійснює збір (отримання) персональних даних безпосередньо від державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, які претендують заміщення посад керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств зобов'язаний роз'яснити зазначеним суб'єктам персональних даних юридичні наслідки відмови надати їх персональні дані.

2.13. Передача (розповсюдження, надання) і використання персональних даних державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, які претендують на заміщення посад керівників підприємств, здійснюється лише у випадках та в порядку, передбачених федеральними законами.

ІІІ. Умови та порядок обробки персональних

даних державних службовців центрального апарату

та територіальних органів Роскомнагляду та осіб, які перебувають

з ними у спорідненості (властивості), у зв'язку з розглядом

питання щодо надання одноразової субсидії

на придбання житлового приміщення

3.1. У центральному апараті Роскомнагляду здійснюється обробка персональних даних державних службовців центрального апарату та територіальних органів Роскомнагляду та осіб, які перебувають з ними у спорідненості (властивості), у зв'язку з розглядом питання про надання одноразової субсидії на придбання житлового приміщення.

3.2. Перелік персональних даних, що підлягають обробці у зв'язку з наданням одноразової субсидії на придбання житлового приміщення, визначається постановою Уряду Російської Федерації "Про надання федеральним державним цивільним службовцям одноразової субсидії на придбання житлового приміщення", і включає:

3.2.1. прізвище, ім'я, по батькові;

3.2.2. вид, серію, номер документа, що посвідчує особу, найменування органу, який його видав, дату видачі;

3.2.3. адреса місця проживання (адреса постійної реєстрації, адреса тимчасової реєстрації, адреса фактичного місця проживання);

3.2.4. відомості про склад сім'ї;

3.2.5. персональні дані, що містяться у виписці з будинкової книги, копія фінансового особового рахунку, свідоцтва про шлюб, свідоцтва про народження дитини (дітей), трудовий книжки, документів про наявність у власності державного службовця та (або) членів його сім'ї житлових приміщень, крім житлового приміщення, в якому вони зареєстровані (з наданням у разі потреби їх оригіналів), документа, що підтверджує право на додаткову площу житлового приміщення;

3.2.6. інші персональні дані, передбачені законодавством Російської Федерації.

3.3. Обробка персональних даних державних службовців Роскомнагляду при постановці на облік для отримання одноразової виплати здійснюється на підставі заяви державного службовця, що подається на ім'я керівника Роскомнагляду в Комісію Роскомнагляду з розгляду питань про постановку на облік федеральних державних цивільних службовців для отримання одноразової субсидії на придбання житлового приміщення - Комісія Роскомнагляду).

3.4. Обробка персональних даних державних службовців Роскомнагляду у зв'язку з наданням одноразової субсидії на придбання житлового приміщення, зокрема збирання, запису, систематизацію, накопичення та уточнення (оновлення, зміну) персональних даних, здійснюється посадовими особами центрального апарату Роскомнагляду, що входять до складу Комісії Роскомнагляду, шляхом :

3.4.1. одержання оригіналів необхідних документів;

3.4.2. надання засвідчених у встановленому порядку копій документів.

3.5. Комісія Роскомнагляду має право перевіряти відомості, що містяться в документах, поданих державними службовцями Роскомнагляду про наявність умов, необхідних для постановки державного службовця на облік для отримання одноразової субсидії на отримання житла.

3.6. Передача (поширення, надання) та використання персональних даних державних службовців Роскомнагляду, отриманих у зв'язку з наданням одноразової субсидії на придбання житлового приміщення, здійснюється лише у випадках та у порядку, передбачених законодавством Російської Федерації.

IV. Умови та порядок обробки персональних даних

суб'єктів у зв'язку з наданням державних послуг

та виконанням державних функцій

4.1. У центральному апараті Роскомнагляду обробка персональних даних фізичних осіб здійснюється з метою надання наступних державних послуг та виконання державних функцій:

4.1.1. організація прийому громадян, забезпечення своєчасного та в повному обсязі розгляду усних та письмових звернень громадян з питань, що належать до компетенції Роскомнагляду;

4.1.2. реєстрація засобів масової інформації;

4.1.3. ліцензування діяльності з виготовлення екземплярів аудіовізуальних творів, програм для електронних обчислювальних машин, баз даних та фонограм на будь-яких видах носіїв;

4.1.4. здійснення присвоєння (призначення) радіочастот чи радіочастотного каналу для радіоелектронних засобів;

4.1.5. дозвільна діяльність у галузі зв'язку;

4.1.6. формування та ведення реєстру федеральних державних інформаційних систем (далі – реєстр ФДІС);

4.1.7. провадження діяльності із захисту прав суб'єктів персональних даних.

4.2. Персональні дані громадян, які звернулися до центрального апарату Роскомнагляду особисто, а також надіслали індивідуальні чи колективні письмові звернення або звернення у формі електронного документа, обробляються з метою розгляду зазначених звернень з подальшим повідомленням заявників про результати розгляду.

Відповідно до законодавства Російської Федерації у центральному апараті Роскомнагляду підлягають розгляду звернення громадян Російської Федерації, іноземних громадян та осіб без громадянства.

4.3. У рамках розгляду звернень громадян підлягають опрацюванню такі персональні дані заявників:

4.3.1. прізвище, ім'я, по батькові (останнє за наявності);

4.3.2. Поштова адреса;

4.3.3. адреса електронної пошти;

4.3.4. вказаний контактний телефон;

4.3.5. інші персональні дані, зазначені заявником у зверненні (скарзі), а також стали відомими в ході особистого прийому або в процесі розгляду звернення, що надійшло.

4.4. Під час реєстрації засобів масової інформації здійснюється обробка наступних персональних даних заявників:

4.4.1. прізвище, ім'я, по батькові (останнє за наявності);

4.4.2. вид, серія, номер документа, що засвідчує особу, найменування органу, який його видав, дата видачі;

4.4.3. адреса місця проживання (адреса постійної реєстрації, адреса тимчасової реєстрації, адреса фактичного місця проживання);

4.4.4. номер контактного телефону або інформацію про інші способи зв'язку.

4.5. При ліцензуванні діяльності з виготовлення екземплярів аудіовізуальних творів, програм для електронних обчислювальних машин, баз даних та фонограм на будь-яких видах носіїв здійснюється обробка наступних персональних даних заявників:

4.5.1. прізвище, ім'я, по батькові (останнє за наявності);

4.5.2. вид, серія, номер документа, що засвідчує особу;

4.5.3. адреса місця проживання;

4.5.4. номер контактного телефону та, за наявності, адресу електронної пошти.

4.6. При здійсненні присвоєння (призначення) радіочастот або радіочастотного каналу для радіоелектронних засобів:

4.6.1. прізвище, ім'я, по батькові (останнє за наявності);

4.6.2. вид, серія, номер документа, що засвідчує особу, найменування органу, який його видав, дата видачі;

4.6.3. адреса місця проживання;

4.6.4. контактний телефон;

4.6.5. ідентифікаційний номер платника податків.

4.7. У рамках дозвільної діяльності в галузі зв'язку можуть опрацьовуватися такі персональні дані заявників:

4.7.1. прізвище, ім'я, по батькові (останнє за наявності);

4.7.2. вид, серія, номер документа, що засвідчує особу;

4.7.3. адреса місця проживання;

4.7.4. номер контактного телефону та, за наявності, адресу електронної пошти.

4.8. В рамках формування реєстру ФДМУ здійснюється обробка наступних персональних даних заявників:

4.8.1. прізвище, ім'я, по батькові (останнє за наявності);

4.8.2. найменування займаної посади;

4.8.3. номер контактного телефону, адреса електронної пошти.

4.9. В рамках провадження діяльності із захисту прав суб'єктів персональних даних здійснюється обробка наступних персональних даних заявників:

4.9.1. прізвище, ім'я, по батькові (останнє за наявності);

4.9.2. вид, серія, номер документа, що засвідчує особу, найменування органу, який його видав, дата видачі;

4.9.3. поштова адреса місця проживання;

4.9.4. Адреса електронної пошти;

4.9.5. номер телефону;

4.9.6. ідентифікаційний номер платника податків;

4.9.7. відомості про трудову діяльність та реквізити трудової книжки;

4.9.8. відомості про освіту, у тому числі про післявузівську професійну освіту (найменування та рік закінчення освітньої установи, найменування та реквізити документа про освіту, кваліфікація, спеціальність за документом про освіту).

4.10. Обробка персональних даних, необхідних у зв'язку з наданням державних послуг та виконанням державних функцій, зазначених у пункті 4.1 цього Положення, здійснюється без згоди суб'єктів персональних даних відповідно до пункту 4 частини 1 статті 6 Федерального закону "Про персональні дані", Федеральних законів "Про організації надання державних та муніципальних послуг", "Про порядок розгляду звернень громадян Російської Федерації", "Про ліцензування окремих видів діяльності", Законом Російської Федерації "Про засоби масової інформації" та іншими нормативними правовими актами, що визначають надання державних послуг та виконання державних функцій встановленій сфері ведення Роскомнагляду.

4.11. Обробка персональних даних, необхідних у зв'язку з наданням державних послуг та виконанням державних функцій, зазначених у пункті 4.1 цього Положення, здійснюється структурними підрозділами центрального апарату Роскомнагляду, що надають відповідні державні послуги та (або) виконують державні функції, і включає наступні дії: збір , запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.

4.12. Збір, запис, систематизація, накопичення та уточнення (оновлення, зміна) персональних даних суб'єктів, які звернулися до центрального апарату Роскомнагляду для отримання державної послуги або з метою виконання державної функції, здійснюється шляхом:

4.12.1. одержання оригіналів необхідних документів (заява);

4.12.2. засвідчення копій документів;

4.12.3. внесення відомостей до облікових форм (на паперових та електронних носіях);

4.12.4. внесення персональних даних до прикладних програмних підсистем Єдиної інформаційної системи Роскомнагляду.

4.13. Збір, запис, систематизація, накопичення та уточнення (оновлення, зміна) персональних даних здійснюється шляхом отримання персональних даних безпосередньо від суб'єктів персональних даних (заявників).

4.14. При наданні державної послуги або виконанні державної функції центральним апаратом Роскомнагляду забороняється вимагати у суб'єктів персональних даних та третіх осіб, а також обробляти персональні дані у випадках, не передбачених законодавством Російської Федерації.

4.15. При зборі персональних даних уповноважена посадова особа структурного підрозділу центрального апарату Роскомнагляду, що здійснює отримання персональних даних безпосередньо від суб'єктів персональних даних, які звернулися за наданням державної послуги або у зв'язку з виконанням державної функції, зобов'язано роз'яснити зазначеним суб'єктам персональних даних юридичні наслідки відмови надати персональні дані.

4.16. Передача (поширення, надання) та використання персональних даних заявників (суб'єктів персональних даних) центральним апаратом Роскомнагляду здійснюється лише у випадках та в порядку, передбачених федеральними законами.

V. Порядок обробки персональних даних суб'єктів

персональних даних в інформаційних системах

5.1. Обробка персональних даних у центральному апараті Роскомнагляду здійснюється:

5.1.1. В "Інформаційній системі персональних даних Роскомнагляду";

5.1.2. на атестованих під обробку персональних даних автоматизованих робочих місць, що входять до складу "Єдиної інформаційної системи Роскомнагляду";

5.1.3. В інформаційній системі "1С: Підприємство 8";

5.1.4. На автоматизованих робочих місцях співробітників кадрового підрозділу Роскомнагляду.

5.2. "Інформаційна система персональних даних Роскомнагляду" (далі - ІСПДн Роскомнагляду) містить персональні дані державних службовців Роскомнагляду, суб'єктів (заявників), які звернулися до Роскомнагляду з метою отримання державних послуг або у зв'язку з виконанням державних функцій, і включає:

5.2.1. персональний ідентифікатор;

5.2.2. прізвище, ім'я, по-батькові суб'єкта персональних даних;

5.2.3. вид документа, що засвідчує особу суб'єкта персональних даних;

5.2.4. серію та номер документа, що засвідчує особу суб'єкта персональних даних, відомості про дату видачі зазначеного документа та орган, що його видав;

5.2.5. адресу місця проживання суб'єкта персональних даних;

5.2.6. поштова адреса суб'єкта персональних даних;

5.2.7. контактний телефон, факс (за наявності) суб'єкта персональних даних;

5.2.8. адресу електронної пошти суб'єкта персональних даних;

5.2.9. ІПН суб'єкта персональних даних.

5.3. Атестовані відповідно до законодавства Російської Федерації під обробку персональних даних автоматизовані робочі місця, що входять до складу "Єдиної інформаційної системи Роскомнагляду" (далі - АРМ ЄІС Роскомнагляду), включають персональні дані суб'єктів, які отримують співробітники центрального апарату Роскомнагляду в рамках надання державних послуг та виконання державних функцій, і включають:

5.3.1. персональний ідентифікатор;

5.3.2. адресу місця проживання суб'єкта персональних даних;

5.3.3. поштова адреса суб'єкта персональних даних;

5.3.4. телефон суб'єкта персональних даних;

5.3.5. факс суб'єкта персональних даних;

5.3.6. адресу електронної пошти суб'єкта персональних даних.

5.4. Інформаційна система "1С: Підприємство 8" та прикладні програмні підсистеми "АКСІОК" та "1С Бухгалтерія", містять персональні дані державних службовців центрального апарату Роскомнагляду та фізичних осіб, які є стороною цивільно-правових договорів, що укладаються центральним апаратом Роскомнагляду, та включає:

5.4.1. прізвище, ім'я, по-батькові суб'єкта персональних даних;

5.4.2. дату народження суб'єкта персональних даних;

5.4.3. місце народження суб'єкта персональних даних;

5.4.4. серію та номер основного документа, що засвідчує особу суб'єкта персональних даних, відомості про дату видачі зазначеного документа та орган, що його видав;

5.4.5. адресу місця проживання суб'єкта персональних даних;

5.4.6. поштова адреса суб'єкта персональних даних;

5.4.7. телефон суб'єкта персональних даних;

5.4.8. ІПН суб'єкта персональних даних;

5.4.9. табельний номер суб'єкта персональних даних;

5.4.10. посада суб'єкта персональних даних;

5.4.11. номер наказу та дату прийому на роботу (звільнення) суб'єкта персональних даних.

5.5. Автоматизовані робочі місця співробітників кадрового підрозділу Роскомнагляду передбачають опрацювання персональних даних державних службовців Роскомнагляду, передбачених пунктом 2.2 цього Положення.

5.6. Класифікація інформаційних систем персональних даних, зазначених у пункті 5.1 цього Положення, здійснюється у порядку, встановленому законодавством України.

5.7. Державним службовцям структурних підрозділів центрального апарату Роскомнагляду, які мають право здійснювати обробку персональних даних в інформаційних системах центрального апарату Роскомнагляду, надається унікальний логін та пароль для доступу до відповідної інформаційної системи Роскомнагляду. Доступ надається до прикладних програмних підсистем відповідно до функцій, передбачених посадовими регламентами державних службовців Роскомнагляду.

Інформація може вноситися як у автоматичному режимі, при отриманні персональних даних з Єдиного порталудержавних послуг або офіційного сайту Роскомнагляду, так і в ручному режимі при отриманні інформації на паперовому носії або в іншому вигляді, що не дозволяє здійснювати її автоматичну реєстрацію.

5.8. Забезпечення безпеки персональних даних, що обробляються в інформаційних системах персональних даних центрального апарату Роскомнагляду, досягається шляхом виключення несанкціонованого, у тому числі випадкового, доступу до персональних даних, а також прийняття наступних заходівіз забезпечення безпеки:

5.8.1. визначення загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних центрального апарату Роскомнагляду;

5.8.2. застосування організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних центрального апарату Роскомнагляду, необхідні виконання вимог до захисту персональних даних, виконання яких забезпечує встановлені Урядом Російської Федерації рівні захищеності персональних даних;

5.8.3. застосування процедур оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку;

5.8.4. оцінка ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних;

5.8.5. облік машинних носіїв персональних даних;

5.8.6. виявлення фактів несанкціонованого доступу до персональних даних та вжиття заходів;

5.8.7. відновлення персональних даних, модифікованих чи віддалених, знищених внаслідок несанкціонованого доступу до них;

5.8.8. встановлення правил доступу до персональних даних, що обробляються в інформаційних системах персональних даних центрального апарату Роскомнагляду, а також забезпеченням реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційних системах персональних даних центрального апарату Роскомнагляду;

5.8.9. контроль за заходами щодо забезпечення безпеки персональних даних та рівнів захищеності інформаційних систем персональних даних.

5.9. Структурний підрозділ Роскомнагляду, відповідальний за забезпечення інформаційної безпеки в центральному апараті Роскомнагляду, організує та контролює ведення обліку матеріальних носіїв персональних даних.

5.10. Структурний підрозділ центрального апарату Роскомнагляду, відповідальний за забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних центрального апарату Роскомнагляду, має забезпечити:

5.10.1. своєчасне виявлення фактів несанкціонованого доступу до персональних даних та негайне доведення цієї інформації до відповідального за організацію обробки персональних даних у центральному апараті Роскомнагляду та керівника Роскомнагляду;

5.10.2. недопущення на технічні засоби автоматизованої обробки персональних даних, у яких може бути порушено їх функціонування;

5.10.3. можливість відновлення персональних даних, модифікованих чи знищених унаслідок несанкціонованого доступу до них;

5.10.4. постійний контроль забезпечення рівня захищеності персональних даних;

5.10.5. знання та дотримання умов використання засобів захисту інформації, передбачених експлуатаційною та технічною документацією;

5.10.6. облік засобів захисту інформації, експлуатаційної та технічної документації до них, носіїв персональних даних;

5.10.7. при виявленні порушень порядку надання персональних даних негайне зупинення надання персональних даних користувачам інформаційної системи персональних даних до виявлення причин порушень та усунення цих причин;

5.10.8. розгляд та складання висновків за фактами недотримання умов зберігання матеріальних носіїв персональних даних, використання засобів захисту інформації, які можуть призвести до порушення конфіденційності персональних даних або інших порушень, що призводять до зниження рівня захищеності персональних даних, розроблення та вжиття заходів щодо запобігання можливим небезпечним наслідкам подібних порушень .

5.11. Структурний підрозділ центрального апарату Роскомнагляду, відповідальний за забезпечення функціонування інформаційних систем персональних даних у центральному апараті Роскомнагляду, вживає всіх необхідних заходів для відновлення персональних даних, модифікованих чи віддалених, знищених внаслідок несанкціонованого доступу до них.

5.12. Обмін персональними даними при їх обробці в інформаційних системах персональних даних центрального апарату Роскомнагляду здійснюється каналами зв'язку, захист яких забезпечується шляхом реалізації відповідних організаційних заходів та шляхом застосування програмних та технічних засобів.

5.13. Доступ державних службовців Роскомнагляду до персональних даних, що знаходяться в інформаційних системах персональних даних центрального апарату Роскомнагляду, передбачає обов'язкове проходження процедури ідентифікації та автентифікації.

5.14. У разі виявлення порушень порядку обробки персональних даних в інформаційних системах персональних даних центрального апарату Роскомнагляду уповноваженими посадовими особами негайно вживаються заходи щодо встановлення причин порушень та їх усунення.

VI. Обробка персональних даних у рамках

міжвідомчої інформаційної взаємодії

із застосуванням єдиної системи міжвідомчого

електронної взаємодії

6.1. Роскомнагляд відповідно до законодавства Російської Федерації здійснює обробку персональних даних у рамках міжвідомчої електронної інформаційної взаємодії електронному виглядіз федеральними органами структурі державної влади із застосуванням єдиної системи міжвідомчого електронного взаємодії (далі - СМЭВ).

6.2. Роскомнагляд у рамках СМЭВ на підставі міжвідомчих запитів, що надійшли, надсилає інформацію, що включає персональні дані суб'єктів, що обробляються в центральному апараті Роскомнагляду, в наступні федеральні органивиконавчої влади:

6.2.1. у Федеральне агентство зв'язку - прізвище, ім'я, по батькові, ідентифікаційний номер платника податків власника ліцензії на провадження діяльності з надання послуг зв'язку;

6.2.2. до Міністерства внутрішніх справ Російської Федерації - прізвище, ім'я, по батькові, ідентифікаційний номер платника податків власника дозволу використання радіочастот;

6.2.3. у Федеральне агентство з друку та масових комунікацій, Федеральну митну службу - прізвище, ім'я, по батькові засновника засобу масової інформації.

6.3. Роскомнагляд у межах СМЭВ вправі направити міжвідомчі запити про надання інформації, що включає персональні дані суб'єктів, у такі федеральні органи виконавчої:

6.3.1. до Федеральної податкової служби - про надання інформації з Єдиного державного реєстру юридичних осіб та Єдиного державного реєстру індивідуальних підприємців (відомості про засновників - фізичних осіб);

6.3.2. в Федеральну службудержавної реєстрації, кадастру та картографії - про надання інформації з Єдиного державного реєстру прав на нерухоме майно щодо правовласників (прізвище, ім'я, по батькові, дата народження, серія та номер основного документа, що засвідчує особу, місце народження, адресу місця проживання, громадянство);

6.3.3. до Міністерства Російської Федерації у справах цивільної оборони, надзвичайних ситуацій та ліквідації наслідків стихійних лих - про надання прізвища, імені, по батькові судновласника.

6.4. Обробка персональних даних також здійснюється Роскомнаглядом під час здійснення електронної взаємодії з підвідомчими Роскомнагляду федеральними державними унітарними підприємствами радіочастотної служби у межах повноважень, передбачених законодавством Російської Федерації.

VII. Терміни обробки та зберігання персональних даних

7.1. Терміни обробки та зберігання персональних даних державних службовців Роскомнагляду, громадян, які претендують на заміщення посад державної служби Роскомнагляду, осіб, які заміщають посади керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також громадян, які претендують на заміщення посад керівників підвідомчих Роскомнадзорів. відповідно до законодавства Російської Федерації. З урахуванням положень законодавства Російської Федерації, встановлюються такі терміни обробки та зберігання персональних даних державних службовців:

7.1.1. Персональні дані, що містяться в наказах за особовим складом державних службовців Роскомнагляду (про прийом, про переведення, про звільнення, про встановлення надбавок), підлягають зберіганню в кадровому підрозділі Роскомнагляду протягом двох років, з подальшим формуванням та передачею зазначених документів до архіву центрального апарату або державний архів у порядку, передбаченому законодавством України, де зберігаються протягом 75 років.

7.1.2. Персональні дані, що містяться в особових справах державних службовців Роскомнагляду (копіях особових справ керівників територіальних органів Роскомнагляду) і керівників підвідомчих Роскомнагляду федеральних державних унітарних підприємств, а також особистих картках державних службовців Роскомнагляду, зберігаються в кадрах передачею зазначених документів до архіву центрального апарату Роскомнагляду або державного архіву в порядку, передбаченому законодавством Російської Федерації, де зберігаються протягом 75 років.

7.1.3. Персональні дані, що містяться в наказах про заохочення, матеріальну допомогу державних службовців Роскомнагляду, підлягають зберіганню протягом двох років у кадровому підрозділі Роскомнагляду з подальшим формуванням та передачею зазначених документів до архіву центрального апарату Роскомнагляду або державного архіву в порядку, передбаченому законодательством. протягом 75 років.

7.1.4. Персональні дані, що містяться в наказах про надання відпусток, про короткострокові внутрішньоросійські та закордонні відрядження, про дисциплінарні стягнення державних службовців Роскомнагляду, підлягають зберіганню в кадровому підрозділі Роскомнагляду протягом п'яти років з подальшим знищенням.

7.1.5. Персональні дані, що містяться в документах претендентів на заміщення вакантної посади державної служби в центральному апараті Роскомнагляду, не допущених до участі у конкурсі, та кандидатів, які брали участь у конкурсі, зберігаються у кадровому підрозділі Роскомнагляду протягом 3 років з дня завершення конкурсу, після чого підлягають знищенню .

7.2. Строки обробки та зберігання персональних даних, що надаються суб'єктами персональних даних до центрального апарату Роскомнагляду у зв'язку з отриманням державних послуг та виконанням державних функцій, зазначених у пункті 4.1 цього Положення, визначаються нормативними правовими актами, що регламентують порядок їх збору та обробки.

7.3. Персональні дані громадян, які звернулися до центрального апарату Роскомнагляду особисто, а також направили індивідуальні чи колективні письмові звернення або звернення у формі електронного документа, зберігаються протягом п'яти років.

7.4. Персональні дані, що надаються суб'єктами на паперовому носії у зв'язку з наданням центральним апаратом Роскомнагляду державних послуг та виконанням державних функцій, зберігаються на паперових носіях у структурних підрозділах центрального апарату Роскомнагляду, до повноважень яких належить обробка персональних даних у зв'язку з наданням державної послуги або виконання державної функції , відповідно до затверджених положень про відповідні структурні підрозділи центрального апарату Роскомнагляду.

7.5. Персональні дані під час їхньої обробки, що здійснюється без використання засобів автоматизації, повинні відокремлюватися від іншої інформації, зокрема шляхом фіксації їх на різних матеріальних носіях персональних даних, у спеціальних розділах або на полях форм (бланків).

7.6. Необхідно забезпечувати роздільне зберігання персональних даних на різних матеріальних носіях, обробка яких здійснюється у різних цілях, визначених цим Положенням.

7.7. Контроль за зберіганням та використанням матеріальних носіїв персональних даних, що не допускає несанкціонованого використання, уточнення, розповсюдження та знищення персональних даних, що знаходяться на цих носіях, здійснюють керівники структурних підрозділів центрального апарату Роскомнагляду.

7.8. Строк зберігання персональних даних, внесених до інформаційних систем персональних даних Роскомнагляду, зазначених у пункті 5.1 цього Положення, повинен відповідати терміну зберігання паперових оригіналів.

VIII. Порядок знищення персональних даних

при досягненні цілей обробки або при настанні

інших законних підстав

8.1. Структурним підрозділом центрального апарату Роскомнагляду, відповідальним за документообіг і архівування, здійснюється систематичний контроль та виділення документів, що містять персональні дані, із строками зберігання, що підлягають знищенню.

8.2. Питання про знищення виділених документів, що містять персональні дані, розглядається на засіданні Центральної експертної комісії Роскомнагляду (далі - ЦЕК Роскомнагляду), склад якої затверджується наказом Роскомнагляду.

За підсумками засідання складаються протокол та Акт про виділення до знищення документів, опис знищуваних справ, перевіряється їх комплектність, акт підписується головою та членами ЦЕК Роскомнагляду та затверджується керівником Роскомнагляду.

8.3. Центральним апаратом Роскомнадзора порядку, встановленому законодавством Російської Федерації, визначається підрядна організація, має необхідну виробничу базу забезпечення встановленого порядку знищення документів. Посадова особа центрального апарату Роскомнагляду, відповідальна за архівну діяльність, супроводжує документи, що містять персональні дані, до виробничої бази підрядника та присутня при процедурі знищення документів (спалювання або хімічне знищення).

8.4. Після закінчення процедури знищення підрядником та посадовцем центрального апарату Роскомнагляду, відповідальним за архівну діяльність, складається відповідний Акт про знищення документів, що містять персональні дані.

8.5. Знищення після закінчення терміну обробки персональних даних на електронних носіях провадиться шляхом механічного порушення цілісності носія, що не дозволяє зчитування або відновлення персональних даних, або видаленням з електронних носіїв методами та засобами гарантованого видалення залишкової інформації.

IX. Розгляд запитів суб'єктів персональних даних

або їх представників

9.1. Державні службовці Роскомнагляду, громадяни, які претендують на заміщення посад державної служби Роскомнагляду та подали документи на участь у конкурсі, особи, які заміщають посади керівників директорів підвідомчих Роскомнагляду федеральних державних унітарних підприємств, громадяни, які претендують на заміщення посад керівників державних підвідомств. центрального апарату та територіальних органів Роскомнагляду та особи, які перебувають з ними у спорідненості (властивості), які звернулися із заявою про надання одноразової субсидії на придбання житлового приміщення, а також громадяни, персональні дані яких обробляються у центральному апараті Роскомнагляду у зв'язку з наданням державних послуг та здійсненням державних функцій, що мають право на отримання інформації, що стосується обробки їх персональних даних, у тому числі містить:

9.1.1. підтвердження факту обробки персональних даних у центральному апараті Роскомнагляду;

9.1.2. правові підстави та цілі обробки персональних даних;

9.1.3. застосовувані в центральному апараті Роскомнагляду способи обробки персональних даних;

9.1.4. найменування та місце знаходження центрального апарату Роскомнагляду, відомості про осіб (за винятком державних службовців центрального апарату Роскомнагляду), які мають доступ до персональних даних або яким можуть бути розкриті персональні дані на підставі договору з центральним апаратом Роскомнагляду або на підставі федерального закону;

9.1.5. оброблювані персональні дані, які стосуються відповідного суб'єкту персональних даних, джерело їх отримання, якщо інший порядок подання таких даних передбачено федеральним законом;

9.1.6. терміни обробки персональних даних, у тому числі терміни їх зберігання у центральному апараті Роскомнагляду;

9.1.7. порядок здійснення суб'єктом персональних даних прав, передбачених законодавством Російської Федерації у сфері персональних даних;

9.1.8. інформацію про здійснену або передбачувану транскордонну передачу даних;

9.1.9. найменування організації або прізвище, ім'я, по батькові та адресу особи, яка здійснює обробку персональних даних за дорученням центрального апарату Роскомнагляду, якщо обробку доручено або буде доручено такій організації або особі;

9.1.10. інші відомості, передбачені законодавством Російської Федерації у сфері персональних даних.

9.2. Особи, зазначені у пункті 9.1 цього Положення (далі - суб'єкти персональних даних), мають право вимагати від центрального апарату Роскомнагляду уточнення їх персональних даних, їх блокування або знищення у разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети опрацювання, а також вживати передбачених законом заходів щодо захисту своїх прав.

9.3. Відомості, зазначені в підпунктах 9.1.1 - 9.1.10 пункту 9.1 цього Положення, повинні бути надані суб'єкту персональних даних оператором у доступній формі, і в них не повинні містити персональних даних, що належать до інших суб'єктів персональних даних, за винятком випадків, якщо є законні підстави розкриття таких персональних даних.

9.4. Відомості, зазначені в підпунктах 9.1.1 - 9.1.10 пункту 9.1 цього Положення, надаються суб'єкту персональних даних або його представнику уповноваженою посадовою особою структурного підрозділу центрального апарату Роскомнагляду, який здійснює обробку відповідних персональних даних при зверненні або отриманні запиту суб'єкта . Запит повинен містити:

9.4.1. номер основного документа, що засвідчує особу суб'єкта персональних даних або його представника, відомості про дату видачі зазначеного документа та орган, що його видав;

9.4.2. відомості, що підтверджують участь суб'єкта персональних даних у правовідносинах з центральним апаратом Роскомнагляду оператором (документ, що підтверджує прийом документів на участь у конкурсі на заміщення вакантних посад державної цивільної служби, надання центральним апаратом Роскомнагляду державної послуги або здійснення державної функції), або відомості іншим чином підтверджено факт обробки персональних даних у центральному апараті Роскомнагляду, підпис суб'єкта персональних даних чи його представника. Запит може бути направлений у формі електронного документа та підписаний електронним підписом відповідно до законодавства Російської Федерації.

9.5. У разі, якщо відомості, зазначені у підпунктах 9.1.1 - 9.1.10 пункту 9.1 цього Положення, а також оброблювані персональні дані були надані для ознайомлення суб'єкту персональних даних на його запит, суб'єкт персональних даних має право звернутися повторно до центрального апарату Роскомнагляду або надіслати повторний запит з метою отримання зазначених відомостей та ознайомлення з такими персональними даними не раніше ніж через тридцять днів після початкового звернення або направлення початкового запиту, якщо більш короткий термін не встановлений федеральним законом, прийнятим відповідно до нього нормативного правового акту або договору, стороною якого або вигодонабувачем або поручителем яким є суб'єкт персональних даних.

9.6. Суб'єкт персональних даних має право звернутися повторно до центрального апарату Роскомнагляду або надіслати повторний запит з метою отримання відомостей, зазначених у підпунктах 9.1.1 - 9.1.10 пункту 9.1 цього Положення, а також з метою ознайомлення з оброблюваними персональними даними до закінчення строку, зазначеного у пункті 9.5 цього Положення, якщо такі відомості та (або) оброблювані персональні дані не були надані йому для ознайомлення в повному обсязі за результатами розгляду початкового звернення. Повторний запит поряд із відомостями, зазначеними у пункті 9.4 цього Положення, повинен містити обґрунтування направлення повторного запиту.

9.7. Центральний апарат Роскомнагляду (уповноважена посадова особа центрального апарату Роскомнагляду) має право відмовити суб'єкту персональних даних у виконанні повторного запиту, який не відповідає умовам, передбаченим пунктами 9.5 та 9.6 цього Положення. Така відмова має бути мотивованою.

9.8. Право суб'єкта персональних даних на доступ до його персональних даних може бути обмежене відповідно до федеральних законів, у тому числі якщо доступ суб'єкта персональних даних до його персональних даних порушує права та законні інтереси третіх осіб.

X. Особа, відповідальна за організацію обробки

персональних даних у центральному апараті Роскомнагляду

10.1. Відповідальний за організацію обробки персональних даних у центральному апараті Роскомнагляду (далі - Відповідальний за обробку персональних даних у Роскомнагляді) призначається керівником Роскомнагляду з числа державних службовців, які належать до вищої та (або) головній групіпосад категорії "керівники" центрального апарату Роскомнагляду відповідно до розподілу обов'язків.

10.2. Відповідальний за обробку персональних даних Роскомнагляду у своїй роботі керується законодавством Російської Федерації у сфері персональних даних та цим Положенням.

10.3. Відповідальний за обробку персональних даних Роскомнагляду зобов'язаний:

10.3.1. організовувати вжиття правових, організаційних та технічних заходів для забезпечення захисту персональних даних, що обробляються в центральному апараті Роскомнагляду від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження персональних даних, а також від інших неправомірних дій щодо персональних даних даних;

10.3.2. здійснювати внутрішній контроль за дотриманням державними службовцями центрального апарату Роскомнагляду вимог законодавства Російської Федерації у сфері персональних даних, у тому числі вимог до захисту персональних даних;

10.3.3. доводити до відома державних службовців центрального апарату Роскомнагляду положення законодавства Російської Федерації у сфері персональних даних, локальних актів з питань обробки персональних даних, вимог до захисту персональних даних;

10.3.4. організовувати прийом та обробку звернень та запитів суб'єктів персональних даних або їх представників, а також здійснювати контроль за прийомом та обробкою таких звернень та запитів у центральному апараті Роскомнагляду;

10.3.5. у разі порушення в центральному апараті Роскомнагляду вимог щодо захисту персональних даних вживати необхідних заходів щодо відновлення порушених прав суб'єктів персональних даних.

10.4. Відповідальний за обробку персональних даних має право:

10.4.1. мати доступ до інформації щодо обробки персональних даних у центральному апараті Роскомнагляду та включає:

10.4.1.1. цілі обробки персональних даних;

10.4.1.4. правові основи обробки персональних даних;

10.4.1.5. перелік дій із персональними даними, загальний опис використовуваних у центральному апараті Роскомнагляду способів обробки персональних даних;

10.4.1.6. опис заходів, передбачених статтями 18.1 та 19 Федерального закону "Про персональні дані", в тому числі відомості про наявність шифрувальних (криптографічних) засобів та найменування цих коштів;

10.4.1.7. дату початку обробки персональних даних;

10.4.1.8. термін чи умови припинення обробки персональних даних;

10.4.1.9. відомості про наявність або відсутність транскордонної передачі персональних даних у процесі їх обробки;

10.4.1.10. відомості про забезпечення безпеки персональних даних відповідно до вимог захисту персональних даних, встановленими Урядом Російської Федерації;

10.4.2. залучати до реалізації заходів, спрямованих на безпеку персональних даних, що обробляються в центральному апараті Роскомнагляду, інших державних службовців центрального апарату Роскомнагляду з покладанням на них відповідних обов'язків та закріпленням відповідальності.

10.5. Відповідальний за обробку персональних даних у центральному апараті Роскомнагляду несе відповідальність за належне виконання покладених функцій з організації обробки персональних даних у центральному апараті Роскомнагляду відповідно до положень законодавства Російської Федерації у сфері персональних даних.

Час публікації: 06.02.2018 16:03
Остання зміна: 06.02.2018 16:05

 

Можливо, буде корисно почитати:

• Кулемети Росії Калашніков - провідний післявоєнний розробник ссср;
• Гени мітохондріальної днк;
• Сумісність Риб і Риб: безкорислива любов чи нестабільні відносини Сумісність по гороскопу риби немов;
• Як повернути коханого чоловіка без спілкування - перевірені змови сильних відунів Як повернути людину до себе;
• Сколеціфобія та боротьба з нею;
• Експерти висловилися за продовження роботи МКС;
• Будова та життєдіяльність інфузорій на прикладі інфузорії-туфельки;
• Архієпископ Іонафан (Єлецьких): Біля витоків народження Української Православної Церкви;