Официальный сайт АНО «Ресурсный центр «ЭВЕРЕСТ»
ул. Зеленая д.8, кв.67
Петрозаводск
8-911-405-76-88
8-921-228-54-43
everest_ptz@mail.ru
Задать вопрос
9:00-18:00
ПН.-ПТ.

Положение об обработке и защите ПД

ГлавнаяОказываемые услугиЮридические услуги, регистрация НКОПоложение об обработке и защите ПД

Утверждено

приказом директора НКО ______________

от «___» ___________________ 20____ г.

_________________________ (ФИО директора)

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 В НКО «______________»

 

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положения (далее - Положение) принято в целях защиты персональных данных субъектов НКО «___» от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение по обработке персональных данных НКО___________ разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных».

1.3. Настоящее Положение принято в целях защиты персональных данных следующих субъектов:

  • работников НКО
  • физических лиц, являющихся участниками (членами) НКО,
  • физических лиц, связанных с НКО гражданско -правовыми договорами,
  • физических лиц, обратившихся в НКО за услугой, консультацией,
  • волонтеров организации,
  • иных граждан, обратившихся в НКО и подписавших Согласие на обработку персональных данных.

1.4. Настоящее Положение утверждается и вводится в действие приказом директора организации и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.

1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.

2.ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. В состав персональных данных входят:

  • анкетные и биографические данные (фамилия, имя, отчество, дата и место рождения),
  • наименование структурного подразделения места работы,
  • занимаемая должность,
  • сведения о текущем должностном окладе,
  • паспортные данные,
  • адрес регистрации (места жительства),
  • телефон,
  • ИНН,
  • номер страхового свидетельства;
  • данные об образовании:
  • данные о детях:
  • данные о семейном положении,
  • данные об имущественном положении,
  • иная информация.

2.3. Документами, содержащие персональные данные являются:

  • паспорт или иной документ, удостоверяющий личность,
  • трудовая книжка,
  • страховое свидетельство государственного пенсионного страхования,
  • свидетельство о постановке на учёт в налоговый орган и присвоения ИНН,
  • документы воинского учёта,
  • документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки:
  • карточка Т-2,
  • медицинское заключение о состоянии здоровья,
  • документы, содержащие сведения о заработной плате, доплатах и надбавках,
  • приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность.
  1. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Под обработкой персональных данных понимается любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными, включая
сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление.
доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.2. При обработке персональных данных субъектов в целях их защиты и обеспечения
прав и свобод человека и гражданина должны соблюдаться следующие требования:

3.2.1. Обработка персональных данных субъектов может осуществляться
исключительно в целях обеспечения соблюдения законов и иных нормативных
правовых актов, содействия работникам в трудоустройстве, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2. Получение персональных данных может осуществляться как путем
представления их самими субъектами персональных данных, так и путем получения их из иных источников.

3.2.3. Персональные данные следует получать у самого субъекта персональных
данных. Если персональные данные возможно получить только у третьей стороны, то
субъект должен быть уведомлен об этом заранее и от него должно быть получено
письменное согласие. Организация должна сообщить субъекту персональных данных о
целях, предполагаемых источниках и способах получения персональных данных, а
также о характере подлежащих получению персональных данных и последствиях
отказа субъекта дать письменное согласие на их получение.

3.2.4. Организация не имеет права получать и обрабатывать персональные данные
субъекта о его политических, религиозных и иных убеждениях и частной жизни (за исключением данных о диагнозе). В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных,
бытовых, личных отношений) могут быть получены и обработаны работодателем
только с его письменного согласия.

3.2.5. Организация не имеет право получать и обрабатывать персональные данные
субъекта о его членстве в общественных объединениях или его профсоюзной
деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3. К обработке, передаче и хранению персональных данных субъектов могут иметь
доступ сотрудники следующих подразделений Организации (если нет подразделений, то указать:  лица, занимающие следующие должности):

дирекции /директор,
бухгалтерии /бухгалтер/;

3.4. Использование персональных данных возможно только в соответствии с целями,
определившими их получение. Персональные данные не могут быть использованы в
целях причинения имущественного и морального вреда гражданам, затруднения
реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан
Российской Федерации на основе использования информации об их социальном
происхождении, о расовой, национальной, языковой, религиозной и партийной
принадлежности запрещено и карается в соответствии с законодательством.

3.5. Передача персональных данных субъектов возможна только с их согласия или в
случаях, прямо предусмотренных законодательством.

3.6. При передаче персональных данных субъекта Организация должна соблюдать
следующие требования:

  • не сообщать персональные данные субъекта третьей стороне без его письменного
    согласия, за исключением случаев, когда это необходимо в целях предупреждения
    угрозы жизни и здоровью субъекта, а также в случаях, установленных
    федеральным законом:
  • разрешать доступ к персональным данным субъектов только специально
    уполномоченным лицам, определенным приказом по Организации, при этом
    указанные лица должны иметь право получать только те персональные данные
    субъектов, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья субъектов, за исключением
    тех сведений, которые относятся к вопросу о возможности выполнения работником
    трудовой функции или сбором пожертвований на лечение.

3.7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.8. Хранение персональных данных должно происходить в порядке, обеспечивающем
защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

3.9. Хранение персональных данных, обрабатываемых сотрудниками организации, зависит от вида носителя:

  • данные, содержащиеся на бумажных носителях, хранятся в
    металлическом сейфе, установленном в кабинете бухгалтерии/приемной директора,
  • персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК сотрудника бухгалтерии/ПК директора,
  • запрещается хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе, оставлять шкафы (сейфы) открытыми в случае выхода работника из рабочего помещения.

3.10. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе «1С: Зарплата и кадры».

3.11. При увольнении работника, имеющего доступ к персональным данным, прекращении доступа к персональным данным, документы и иные носители, содержащие персональные данные, сдаются работником своему непосредственному руководителю.

  1. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

4.1. Внутренний доступ (доступ внутри организации):

4.1.1. Доступ к персональным данным субъектов имеют следующие сотрудник Организации, непосредственно использующие их в служебных целях:

  • директор,
  • бухгалтер,
  • кадровик.
  • иное указать.

4.2.1. Перечень сотрудников, имеющих доступ к персональным данным субъектов, определяется приказом директора Организации.

4.2. Внешний доступ (другие граждане и Организации).

4.2.1. Получение сведений о персональных данных работников третьей стороной
разрешается только при наличии заявления с указанием конкретных персональных
данных и целей, для которых они будут использованы, а также письменного согласия
работника, персональные данные которого затребованы. Персональные данные
субъекта также могут быть получены третьей стороной в случаях, когда это
необходимо для защиты жизни, здоровья или иных жизненно важных интересов
субъекта персональных данных, если получение согласия субъекта персональных
данных невозможно, а также в случаях, установленных законом.

4.2.2. Организация вправе поручить обработку персональных данных другому лицу с
согласия субъекта персональных данных. Лицо, осуществляющее обработку
персональных данных по поручению Организации, обязано соблюдать принципы и
правила обработки персональных данных, предусмотренные настоящим Положением
и действующим законодательством. В случае, если Организация поручает обработку
персональных данных другому лицу, ответственность перед субъектом персональных
данных за действия указанного лица несет Организация. Лицо, осуществляющее обработку персональных данных по поручению Организации, несет ответственность перед Организацией.

  1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В целях обеспечения защиты персональных данных, хранящихся в документации
Организации, субъекты персональных данных имеют право:

  • получать полную информацию о своих персональных данных и обработке этих
    данных (в том числе автоматизированной);
  • осуществлять свободный бесплатный доступ своим персональным данным, включая право получать копии любой записи, содержащей персональные данные
    субъекта, за исключением случаев, предусмотренных федеральным законом;
  • требовать исключения или исправления неверных или неполных персональных
    данных, а также данных, обработанных с нарушением федерального закона.
    Персональные данные оценочного характера субъект имеет право дополнить
    заявлением, выражающим его собственную точку зрения;
  • обжаловать в суд любые неправомерные действия или бездействие работодателя
    при обработке и защите персональных данных.

5.2. Запрещается передавать информацию о состоянии здоровья работника, за
исключением сведений, которые относятся к вопросу о возможности выполнения
работником трудовой функции.

5.3. Защита персональных данных субъектов от неправомерного их использования или
утраты обеспечивается за счёт средств Организации в порядке, установленном
федеральным законом.

  1. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ
    ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Блокирование информации, содержащей персональные данные субъекта
персональных данных, производится в случае:

  • если персональные данные являются неполными, устаревшими, недостоверными;
  • если сведения являются незаконно полученными или не являются необходимыми
    для заявленной цели обработки.

6.2. В случае подтверждения факта недостоверности персональных данных Организации на
основании документов, представленных субъектом персональных — данных,
уполномоченным органом по защите прав субъектов персональных данных или
полученных в ходе самостоятельной проверки, обязан уточнить персональные данные и
снять их блокирование.

6.3. В случае выявления неправомерных действий с персональными данными Организация обязана устранить допущенные нарушения. В случае невозможности устранения
допущенных нарушений Организация в срок, не превышающий трех рабочих дней с даты
выявления неправомерности действий с персональными данными, обязан уничтожить
персональные данные.6.4. Организация обязана уничтожить персональные данные субъекта в случае:

  • достижения цели обработки персональных данных:
  • отзыва субъектом персональных данных согласия на обработку своих
    персональных данных.

Уничтожение персональных данных должно быть осуществлено в течение трех дней с
указанных моментов. Соглашением между Организацией и субъектом персональных данных
могут быть установлены иные сроки уничтожения персональных данных при достижении
цели обработки персональных данных.

  1. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ,

РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.2. Директор Организации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.

С Положение ознакомлены:

Директор НКО __________________________, дата.

Бухгалтер НКО __________________________, дата и т.д.