ПОЛИТИКА в отношении обработки персональных данных
Утверждена приказом Национального кровельного союза от 10.12.2024 № 24
1. Общие положения
1.1. Назначение документа
1.1.1. Важнейшим условием реализации деятельности Национального кровельного союза (далее - Организация) является обеспечение необходимого и достаточного уровня информационной безопасности персональных данных (далее - ПДн) и процессов, в рамках которых они обрабатываются.
1.1.2. Обработка и обеспечение безопасности ПДн, осуществляется в Организации в соответствии с законодательством РФ, в частности Федеральным законом № 152 от 27.06.2006 «О персональных данных», Постановлением Правительства РФ № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.2. Область действия
1.2.1. Настоящая Политика определяет принципы, порядок и условия обработки ПДн различных категорий субъектов, чьи ПДн обрабатываются в Организации, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2.2. Положения настоящей Политики распространяются на весь объем ПДн, обрабатываемых Организацией, полученных как до, так и после вступления ее в силу, а также на всех субъектов ПДн.
1.3. Вступление в силу документа
1.3.1. Настоящая Политика вступает в силу с момента ее утверждения Исполнительным директором Организации и действует бессрочно до замены ее новой Политикой.
1.3.2. В соответствии с п.2 ст.18.1 ФЗ «О персональных данных» доступ к настоящему документу не может быть ограничен.
1.3.3. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите ПДн, но не реже одного раза в три года.
2. Сведения об Организации
2.1. Реквизиты
2.1.1. Полное наименование: «Национальный кровельный союз»
2.1.2. ИНН / КПП: 7842328130/784001001
2.1.3. 2.1.3. Юридический адрес: 191002, г Санкт-Петербург, Загородный проспект, дом 5,
литера Д, помещение №2п/6
2.1.4. Тел.: (812) 703 55 46
2.2. Исполнение политики
2.2.1. С целью исполнения настоящей Политики в Организации утверждены:
• Положение об обработке и защите ПДн;
• Правила обработки ПДн;
• Перечень обрабатываемых ПДн;
• Перечень работников, допущенных к обработке ПДн;
• Определение хранилищ ПДн и их материальных носителей;
• Планы проведения резервного копирования ПДн в информационных системах ПДн;
• иные локальные нормативные акты, принимаемые во исполнение требований законодательства Российской Федерации в области обработки и защиты ПДн.
3. Понятие и состав персональных данных
3.1. Понятия и определения
ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
3.2. Субъекты персональных данных:
Организация осуществляет обработку ПДн следующих субъектов ПДн:
• работники Организации;
• cоискатели при открытии вакансии;
• получатели экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков, а также участников мероприятий, организуемых Организацией;
• контрагенты (юридические и физические лица).
3.3. Цели обработки
3.3.1. Обработка ПДн работников Организации, осуществляется исключительно в целях:
• обеспечения соблюдения конституционных прав работников, а также норм и требований законодательства РФ о государственной социальной помощи, о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, трудового законодательства;
• исполнения обязательств и функций работодателя по договору с работником;
• содействия в осуществлении трудовой (служебной) деятельности и учета результатов исполнения договорных обязательств;
• ведения кадрового делопроизводства;
• оформления, выпуска банковской карты и зачисления денежных средств на открытые счета;
• размещения данных на официальном сайте Организации и на аккаунтах Организации в социальных сетях.
3.3.2. Обработка ПДн работников Организации, осуществляется на основании:
• Заявления о согласии на обработку ПДн;
• Трудового кодекса РФ;
• Постановления Правительства РФ от 16.04.2003 № 225 «О трудовых книжках»;
• Постановления Государственного Комитета РФ по статистике от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».
3.3.3. Обработка ПДн работников Организации, прекращается в случаях:
• достижения целей обработки ПДн;
• расторжения трудового договора или по его окончании.
3.3.4. Обработка ПДн получателей экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков, а также участников мероприятий, организуемых Организацией, осуществляется в целях:
• заключения договора на оказание услуг
• предоставления услуг
• ведения документации, необходимой для оказания услуг .
3.3.5. Обработка ПДн получателей экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков, а также участников мероприятий, организуемых Организацией, осуществляется на основании:
• Заявления о согласии на обработку ПДн;
• Договора, стороной которого является получатель экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков;
• подачи регистрационных заявок на участие в мероприятии.
3.3.6. Обработка ПДн получателей экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков, а также участников мероприятий, организуемых Организацией, прекращается в случаях:
• достижения целей обработки ПДн;
• отзыва согласия на обработку ПДн.
3.3.7. Обработка ПДн контрагентов осуществляется в целях:
• исполнения обязанностей по членству в Организации с субъектом ПДн.
3.3.8. Обработка ПДн контрагентов осуществляется на основании:
• Договора с контрагентом.
3.3.9. Обработка ПДн контрагентов прекращается в случаях:
• достижения целей обработки ПДн;
• выхода или исключения контрагента из Организации.
3.3.10. Обработка ПДн соискателей осуществляется в целях:
• отбора кадров на вакантные должности.
3.3.11. Обработка ПДн соискателей осуществляется на основании:
• Согласия субъектов ПДн.
3.3.12. Обработка ПДн соискателей прекращается в случаях:
• достижения целей обработки ПДн.
3.4. Биометрические персональные данные
3.4.1. Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) Организацией не обрабатываются.
3.5. Специальные категории персональных данных
3.5.1. Сведения, касающиеся национальной принадлежности, состояния здоровья, (специальные категории ПДн) Организацией не обрабатываются.
4. Обработка персональных данных
4.1. Общие сведения
4.1.1. Обработка ПДн в Организации осуществляется на основе принципов:
- законности и справедливости целей и способов обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Организации;
- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
- хранения ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- уничтожения по достижении целей обработки ПДн или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.
3.1.2. Организация осуществляет обработку ПДн с использованием средств автоматизации, а именно - средства вычислительной техники, средства и системы передачи, приема и обработки ПДн, программные средства, средства защиты информации, применяемые в информационных системах, а также без использования средств автоматизации.
4.2. Сбор
4.2.1. ПДн субъектов Организация получает напрямую от субъектов ПДн или их законных представителей.
4.2.2. В случае возникновения необходимости получения ПДн субъекта ПДн от третьей
стороны, Организация извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПДн.
4.2.3. Для получения ПДн субъекта ПДн от третьей стороны Организация сначала получает его письменное согласие.
4.3. Хранение
4.3.1. Организация хранит ПДн и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.
4.3.2. Организация хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.
4.3.3. Сроки хранения документов, содержащих ПДн субъектов ПДн, а также сроки хранения сведений, содержащих ПДн субъектов ПДн в электронном виде (электронные документы, записи баз данных) определяются Перечнем обрабатываемых ПДн в соответствии с приказом Министерства культуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», номенклатурой дел, сроком исковой давности, а также иными требованиями законодательства Российской Федерации.
4.3.4. При обработке ПДн на бумажных носителях Организацией обеспечивается выполнение требований «Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства РФ от 15.09.2008 № 687.
4.3.5. При обработке ПДн на машинных носителях или в информационных системах ПДн Организацией обеспечивается выполнение «Требований к защите ПДн при их обработке в информационных системах ПДн», утвержденных постановлением Правительства РФ от 01.11.2012
№ 1119.
4.4. Передача
4.4.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки ПДн, а также в интересах субъектов ПДн, Организация в ходе своей деятельности может предоставить ПДн субъектов ПДн по запросу от следующих организаций:
• Федеральная налоговая служба России;
• Пенсионный фонд России;
• Органы социального страхования;
• Банки;
• Государственные и муниципальные органы власти;
• Территориальные органы федеральных органов исполнительной власти;
4.5. Трансграничная передача
4.5.1. Передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Организацией не осуществляется.
4.6. Общедоступные источники
4.6.1. Организация не осуществляет формирование общедоступных источников ПДн.
4.7. Поручение обработки
4.7.1. Организация не поручает обработку ПДн другому лицу.
5. Права сторон
5.1. Права субъектов персональных данных
5.1.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Организацией.
5.1.2. Субъект ПДн вправе требовать от Организации уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели
8
обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.1.3. Субъекты ПДн имеют право запрашивать у Организации следующие сведения:
• подтверждение факта обработки ПДн Организацией;
• правовые основания и цели обработки ПДн;
• используемые Организацией способы обработки ПДн;
• наименование и адрес местонахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Организацией или на основании федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законодательством Российской Федерации.
5.1.4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.
Для реализации своих прав и защиты законных интересов (см. п.5.1.1-5.1.4 настоящей Политики), субъект ПДн имеет право обратиться в Организацию. Организация рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
5.1.5. Субъект ПДн вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Организация по защите прав субъектов ПДн) или в судебном порядке.
5.1.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.1.7. Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись в Организацию.
5.2. Права Организации
5.2.1. Организация, как оператор ПДн, вправе:
• отстаивать свои интересы в суде;
• предоставлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении ПДн в случаях предусмотренных законодательством РФ;
• обрабатывать ПДн субъекта без его согласия, в случаях предусмотренных законодательством РФ.
6. Защита персональных данных
6.1. Организация гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.
6.2. Все работники Организации, имеющие доступ к ПДн, соблюдают правила их обработки и выполняют требования по их защите.
6.3. Организация принимает все необходимые правовые, организационные и инженерно-- технические меры, достаточные для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных
неправомерных действий с ними со стороны третьих лиц.
6.4. Обеспечение безопасности ПДн достигается в частности:
• назначением ответственного за организацию обработки и защиты ПДн;
• разработкой документов, определяющих порядок обработки и защиты ПДн;
• определением порядка доступа в помещения, где обрабатываются ПДн, а также порядка доступа к ресурсам информационных систем ПДн;
• резервированием ПДн, а также определением порядка их восстановления;
• использованием средств защиты информации в информационных системах ПДн;
• определением мест хранения носителей ПДн;
• ознакомлением работников Организации, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных работников, сбором обязательств о неразглашении ПДн;
• обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
• восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• контролем за принимаемыми мерами по обеспечению безопасности ПДн.
7. Заключительные положения
7.1. Настоящая Политика является внутренним документом и подлежит размещению в общедоступном месте.
7.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в Организации.
7.3. Ответственность должностных лиц Организации, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации, и внутренними документами Организации.
8. Контактная информация
8.1. Организация
8.1.1. ФИО ответственного за организацию обработки ПДн в Организации: Исполнительный директор Пахутко Елена Кимовна.
8.1.2. Адрес: 191002, г. Санкт-Петербург, Загородный проспект, дом 5, литера Д, помещение №2П/6
8.1.3. Телефон: 8 (812) 703 55 46
8.1.4. Электронная почта: secretary@roofers-union.ru
8.1.5. Все вопросы и предложения по внесению изменений или дополнений в настоящую Политику следует направлять на имя ответственного за организацию обработки ПДн по указанному выше контактному телефону, почтовому адресу или адресу электронной почты.
Скачать
1. Общие положения
1.1. Назначение документа
1.1.1. Важнейшим условием реализации деятельности Национального кровельного союза (далее - Организация) является обеспечение необходимого и достаточного уровня информационной безопасности персональных данных (далее - ПДн) и процессов, в рамках которых они обрабатываются.
1.1.2. Обработка и обеспечение безопасности ПДн, осуществляется в Организации в соответствии с законодательством РФ, в частности Федеральным законом № 152 от 27.06.2006 «О персональных данных», Постановлением Правительства РФ № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.2. Область действия
1.2.1. Настоящая Политика определяет принципы, порядок и условия обработки ПДн различных категорий субъектов, чьи ПДн обрабатываются в Организации, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2.2. Положения настоящей Политики распространяются на весь объем ПДн, обрабатываемых Организацией, полученных как до, так и после вступления ее в силу, а также на всех субъектов ПДн.
1.3. Вступление в силу документа
1.3.1. Настоящая Политика вступает в силу с момента ее утверждения Исполнительным директором Организации и действует бессрочно до замены ее новой Политикой.
1.3.2. В соответствии с п.2 ст.18.1 ФЗ «О персональных данных» доступ к настоящему документу не может быть ограничен.
1.3.3. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите ПДн, но не реже одного раза в три года.
2. Сведения об Организации
2.1. Реквизиты
2.1.1. Полное наименование: «Национальный кровельный союз»
2.1.2. ИНН / КПП: 7842328130/784001001
2.1.3. 2.1.3. Юридический адрес: 191002, г Санкт-Петербург, Загородный проспект, дом 5,
литера Д, помещение №2п/6
2.1.4. Тел.: (812) 703 55 46
2.2. Исполнение политики
2.2.1. С целью исполнения настоящей Политики в Организации утверждены:
• Положение об обработке и защите ПДн;
• Правила обработки ПДн;
• Перечень обрабатываемых ПДн;
• Перечень работников, допущенных к обработке ПДн;
• Определение хранилищ ПДн и их материальных носителей;
• Планы проведения резервного копирования ПДн в информационных системах ПДн;
• иные локальные нормативные акты, принимаемые во исполнение требований законодательства Российской Федерации в области обработки и защиты ПДн.
3. Понятие и состав персональных данных
3.1. Понятия и определения
ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
3.2. Субъекты персональных данных:
Организация осуществляет обработку ПДн следующих субъектов ПДн:
• работники Организации;
• cоискатели при открытии вакансии;
• получатели экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков, а также участников мероприятий, организуемых Организацией;
• контрагенты (юридические и физические лица).
3.3. Цели обработки
3.3.1. Обработка ПДн работников Организации, осуществляется исключительно в целях:
• обеспечения соблюдения конституционных прав работников, а также норм и требований законодательства РФ о государственной социальной помощи, о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, трудового законодательства;
• исполнения обязательств и функций работодателя по договору с работником;
• содействия в осуществлении трудовой (служебной) деятельности и учета результатов исполнения договорных обязательств;
• ведения кадрового делопроизводства;
• оформления, выпуска банковской карты и зачисления денежных средств на открытые счета;
• размещения данных на официальном сайте Организации и на аккаунтах Организации в социальных сетях.
3.3.2. Обработка ПДн работников Организации, осуществляется на основании:
• Заявления о согласии на обработку ПДн;
• Трудового кодекса РФ;
• Постановления Правительства РФ от 16.04.2003 № 225 «О трудовых книжках»;
• Постановления Государственного Комитета РФ по статистике от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».
3.3.3. Обработка ПДн работников Организации, прекращается в случаях:
• достижения целей обработки ПДн;
• расторжения трудового договора или по его окончании.
3.3.4. Обработка ПДн получателей экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков, а также участников мероприятий, организуемых Организацией, осуществляется в целях:
• заключения договора на оказание услуг
• предоставления услуг
• ведения документации, необходимой для оказания услуг .
3.3.5. Обработка ПДн получателей экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков, а также участников мероприятий, организуемых Организацией, осуществляется на основании:
• Заявления о согласии на обработку ПДн;
• Договора, стороной которого является получатель экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков;
• подачи регистрационных заявок на участие в мероприятии.
3.3.6. Обработка ПДн получателей экспертных, консультационных услуг и услуг по профессиональному обучению кровельщиков, а также участников мероприятий, организуемых Организацией, прекращается в случаях:
• достижения целей обработки ПДн;
• отзыва согласия на обработку ПДн.
3.3.7. Обработка ПДн контрагентов осуществляется в целях:
• исполнения обязанностей по членству в Организации с субъектом ПДн.
3.3.8. Обработка ПДн контрагентов осуществляется на основании:
• Договора с контрагентом.
3.3.9. Обработка ПДн контрагентов прекращается в случаях:
• достижения целей обработки ПДн;
• выхода или исключения контрагента из Организации.
3.3.10. Обработка ПДн соискателей осуществляется в целях:
• отбора кадров на вакантные должности.
3.3.11. Обработка ПДн соискателей осуществляется на основании:
• Согласия субъектов ПДн.
3.3.12. Обработка ПДн соискателей прекращается в случаях:
• достижения целей обработки ПДн.
3.4. Биометрические персональные данные
3.4.1. Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) Организацией не обрабатываются.
3.5. Специальные категории персональных данных
3.5.1. Сведения, касающиеся национальной принадлежности, состояния здоровья, (специальные категории ПДн) Организацией не обрабатываются.
4. Обработка персональных данных
4.1. Общие сведения
4.1.1. Обработка ПДн в Организации осуществляется на основе принципов:
- законности и справедливости целей и способов обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Организации;
- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
- хранения ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- уничтожения по достижении целей обработки ПДн или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.
3.1.2. Организация осуществляет обработку ПДн с использованием средств автоматизации, а именно - средства вычислительной техники, средства и системы передачи, приема и обработки ПДн, программные средства, средства защиты информации, применяемые в информационных системах, а также без использования средств автоматизации.
4.2. Сбор
4.2.1. ПДн субъектов Организация получает напрямую от субъектов ПДн или их законных представителей.
4.2.2. В случае возникновения необходимости получения ПДн субъекта ПДн от третьей
стороны, Организация извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПДн.
4.2.3. Для получения ПДн субъекта ПДн от третьей стороны Организация сначала получает его письменное согласие.
4.3. Хранение
4.3.1. Организация хранит ПДн и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.
4.3.2. Организация хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.
4.3.3. Сроки хранения документов, содержащих ПДн субъектов ПДн, а также сроки хранения сведений, содержащих ПДн субъектов ПДн в электронном виде (электронные документы, записи баз данных) определяются Перечнем обрабатываемых ПДн в соответствии с приказом Министерства культуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», номенклатурой дел, сроком исковой давности, а также иными требованиями законодательства Российской Федерации.
4.3.4. При обработке ПДн на бумажных носителях Организацией обеспечивается выполнение требований «Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства РФ от 15.09.2008 № 687.
4.3.5. При обработке ПДн на машинных носителях или в информационных системах ПДн Организацией обеспечивается выполнение «Требований к защите ПДн при их обработке в информационных системах ПДн», утвержденных постановлением Правительства РФ от 01.11.2012
№ 1119.
4.4. Передача
4.4.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки ПДн, а также в интересах субъектов ПДн, Организация в ходе своей деятельности может предоставить ПДн субъектов ПДн по запросу от следующих организаций:
• Федеральная налоговая служба России;
• Пенсионный фонд России;
• Органы социального страхования;
• Банки;
• Государственные и муниципальные органы власти;
• Территориальные органы федеральных органов исполнительной власти;
4.5. Трансграничная передача
4.5.1. Передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Организацией не осуществляется.
4.6. Общедоступные источники
4.6.1. Организация не осуществляет формирование общедоступных источников ПДн.
4.7. Поручение обработки
4.7.1. Организация не поручает обработку ПДн другому лицу.
5. Права сторон
5.1. Права субъектов персональных данных
5.1.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Организацией.
5.1.2. Субъект ПДн вправе требовать от Организации уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели
8
обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.1.3. Субъекты ПДн имеют право запрашивать у Организации следующие сведения:
• подтверждение факта обработки ПДн Организацией;
• правовые основания и цели обработки ПДн;
• используемые Организацией способы обработки ПДн;
• наименование и адрес местонахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Организацией или на основании федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Организации, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законодательством Российской Федерации.
5.1.4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.
Для реализации своих прав и защиты законных интересов (см. п.5.1.1-5.1.4 настоящей Политики), субъект ПДн имеет право обратиться в Организацию. Организация рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
5.1.5. Субъект ПДн вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Организация по защите прав субъектов ПДн) или в судебном порядке.
5.1.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.1.7. Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись в Организацию.
5.2. Права Организации
5.2.1. Организация, как оператор ПДн, вправе:
• отстаивать свои интересы в суде;
• предоставлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении ПДн в случаях предусмотренных законодательством РФ;
• обрабатывать ПДн субъекта без его согласия, в случаях предусмотренных законодательством РФ.
6. Защита персональных данных
6.1. Организация гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.
6.2. Все работники Организации, имеющие доступ к ПДн, соблюдают правила их обработки и выполняют требования по их защите.
6.3. Организация принимает все необходимые правовые, организационные и инженерно-- технические меры, достаточные для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных
неправомерных действий с ними со стороны третьих лиц.
6.4. Обеспечение безопасности ПДн достигается в частности:
• назначением ответственного за организацию обработки и защиты ПДн;
• разработкой документов, определяющих порядок обработки и защиты ПДн;
• определением порядка доступа в помещения, где обрабатываются ПДн, а также порядка доступа к ресурсам информационных систем ПДн;
• резервированием ПДн, а также определением порядка их восстановления;
• использованием средств защиты информации в информационных системах ПДн;
• определением мест хранения носителей ПДн;
• ознакомлением работников Организации, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных работников, сбором обязательств о неразглашении ПДн;
• обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
• восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• контролем за принимаемыми мерами по обеспечению безопасности ПДн.
7. Заключительные положения
7.1. Настоящая Политика является внутренним документом и подлежит размещению в общедоступном месте.
7.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в Организации.
7.3. Ответственность должностных лиц Организации, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации, и внутренними документами Организации.
8. Контактная информация
8.1. Организация
8.1.1. ФИО ответственного за организацию обработки ПДн в Организации: Исполнительный директор Пахутко Елена Кимовна.
8.1.2. Адрес: 191002, г. Санкт-Петербург, Загородный проспект, дом 5, литера Д, помещение №2П/6
8.1.3. Телефон: 8 (812) 703 55 46
8.1.4. Электронная почта: secretary@roofers-union.ru
8.1.5. Все вопросы и предложения по внесению изменений или дополнений в настоящую Политику следует направлять на имя ответственного за организацию обработки ПДн по указанному выше контактному телефону, почтовому адресу или адресу электронной почты.
Скачать