Положение о защите персональных данных

Утверждено
Президентом Нотариальной Палаты
Республики Адыгея
Самоговой Л. М.

 ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В НОТАРИАЛЬНОЙ ПАЛАТЕ
РЕСПУБЛИКИ АДЫГЕЯ 

Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1.      Настоящее Положение о защите персональных данных (далее – «Положение») в Нотариальной  Палате  Республики Адыгея (далее – «Палата») разработано на основе и во исполнение ст. 23 и ст. 24 Конституции РФ, главы 14 Трудового кодекса РФ, Федерального закона РФ “Об информации, информационных технологиях и о защите информации” № 149-ФЗ от 27.07.2006 г., Федерального закона РФ “О персональных данных ” № 152-ФЗ от 27.07.2006 г. и других нормативных правовых актов по вопросам защиты информации.
1.2.      Настоящее Положение разработано в целях соблюдения законодательства Российской Федерации, в части обеспечения обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных (далее – “ПДн”), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну работников (далее – «Работник») Нотариальной  Палаты  Республики Адыгея (далее – «Работодатель»).
1.3.      Настоящее Положение определяет состав и порядок обработки ПДн Работников в информационных системах ПДн  Работодателя, организацию работы по обеспечению защиты ПДн, закрепляет права и обязанности должностных лиц Работодателя и Работников, возникающие в связи с обработкой ПДн.
1.4.      В настоящем Положении используются понятия и термины, указанные в Приложении № 1 к настоящему Положению.
Раздел 2. ПОНЯТИЕ И СОСТАВ ПДН РАБОТНИКА
2.1.  ПДн Работника является любая информация, относящаяся к определенному или определяемому на основании такой информации Работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, фотография, индивидуальный номер налогоплательщика, номер страхового свидетельства обязательного пенсионного страхования, данные квалификационного аттестата.
2.2.  Документами, содержащими ПДн работника, являются:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховое свидетельство государственного пенсионного страхования;
г) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
д) документы воинского учёта;
е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
ж) карточка Т-2;
з) автобиография;
и) квалификационный аттестат;
к) документы, содержащие сведения о заработной плате, доплатах и надбавках;
л) приказы о приеме Работника на работу, его увольнении, а также о переводе Работника на другую должность;
м) документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
н) документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.);
о) документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций.
2.3. Документы, содержащие ПДн Работника, создаются путём:
а)   копирования подлинников (например, копии документов об образовании, свидетельство ИНН, пенсионных свидетельств сотрудников);
б)   заполнения анкетных данные (на бумажных и электронных носителях);
в)   предоставления подлинников документов (трудовых книжек, личные листки по учёту кадров, автобиографии Работников).
 
Раздел 3. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
3.1. Обработка ПДн Работников осуществляется в следующих целях:
   – обеспечения соблюдения законов и иных нормативных правовых актов;
   – содействия Субъекту в трудоустройстве, обучении и продвижении по службе;
   – обеспечения личной безопасности Субъекта;
   – контроля количества и качества выполняемой работы;
   – обеспечения сохранности имущества.
3.2. Обработка ПДн Работников должна осуществляться на основе принципов:
1)          законности целей и способов обработки ПДн и добросовестности;
2)          соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Работодателя;
3)     достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
4)     недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн;
5)   соответствия объема и характера обрабатываемых ПДн,
способов обработки ПДн целям обработки ПДн. При определении объема и содержания обрабатываемых ПДн Работника Работодатель должен руководствоваться Конституцией Российской Федерации и федеральными законами.
3.3.   Работодатель при обработке ПДн Работника обязан соблюдать следующие требования:
3.3.1.   В случаях, непосредственно связанных с вопросами трудовых отношений Работодатель вправе обрабатывать ПДн Работника только с его согласия, оформленного через отдел кадров Работодателя в письменной форме.
3.3.2.   Все ПДн Работника следует получать у него самого. В случае возникновения необходимости получения ПДн Работника у третьей стороны отдел кадров Работодателя обязан известить об этом Работника, получить его письменное согласие и сообщить Работнику о целях, предполагаемых источниках и способах получения ПДн; а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получение.
3.3.3.   Обеспечения конфиденциальности ПДн не требуется:
–  в случае обезличивания ПДн Работника;
– в отношении общедоступных ПДн Работников, которые создаются в целях информационного обеспечения деятельности Работодателя (в том числе справочники, адресные книги). В общедоступные источники ПДн Работников с письменного согласия Работника могут включаться его фамилия, имя, отчество, год и место рождения, адрес и иные ПДн, предоставленные Работником.
Сведения о Работнике могут быть в любое время исключены из общедоступных источников ПДн по требованию Работника либо по решению суда или иных уполномоченных государственных органов.
3.3.4.   За исключением случаев, предусмотренных федеральными законами, Работодатель не имеет права обрабатывать следующие ПДн Работника:
–   о политических, религиозных, философских и иных убеждениях и частной жизни;
–   о расовой и национальной принадлежности;
–   о членстве в общественных объединениях или профсоюзной деятельности;
–   о состоянии здоровья, интимной жизни.
Работодатель не вправе запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.
3.3.5.   Работодатель осуществляет обработку ПДн Работника как в автоматизированной, так и в неавтоматизированной форме. Особенности способов обработки ПДн (автоматизированная/неавтоматизированная) и защиты ПДн может быть установлена локальными актами Работодателя.
При принятии решений, затрагивающих интересы Работника, Работодатель не имеет права основываться на ПДн Работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3.6.   При передаче ПДн Работодатель не вправе:
–   сообщать ПДн Работника третьей стороне без письменного согласия Работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами.
–   сообщать ПДн Работника в коммерческих целях без его письменного согласия;
3.3.7.   При передаче ПДн Работодатель обязан:
–  предупредить лиц, получающих ПДн Работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными Работников в порядке, установленном федеральными законами;
–  за счет своих средств обеспечить защиту ПДн Работника от неправомерного их использования или утраты в порядке, установленном федеральным законом;
–  ознакомить Работников под роспись с документами Работодателя, устанавливающими порядок обработки ПДн Работников, а также об их правах и обязанностях в этой области;
–  разъяснить Работнику (лицу, принимаемому на работу) юридические последствия отказа предоставить ПДн (например – невозможность осуществления Работодателем своих функций, указать нормы законодательства, требующие предоставления ПДн);
–  предупредить об ответственности за предоставление недостоверных ПДн;
–  разрешать доступ к персональным данным Работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн Работника, которые необходимы для выполнения конкретных функций.
ПДн Работника могут быть переданы представителям Работников в порядке, установленном Трудовым Кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
3.3.8. Предоставление сведений о ПДн Работников без соответствующего их согласия возможно в следующих случаях, предусмотренных федеральными законами:
а)   в целях предупреждения угрозы жизни и здоровья работника;
б)   в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;
в)   в целях обеспечения обороны страны и безопасности государства, в том числе при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях».
3.3.9.   Трансграничная передача ПДн осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации.
3.3.10.    В случае достижения цели обработки ПДн Работников Работодатель обязан незамедлительно прекратить обработку ПДн Работника и уничтожить соответствующие ПДн в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами и уведомить об этом Работника или его законного представителя.
Достижением цели обработки ПДн Работника, как правило, является истечение сроков хранения документов.
Порядок хранения ПДн Работников устанавливается Работодателем с соблюдением требований законодательства Российской Федерации.
Раздел 4. ОТВЕТСТВЕННОСТЬ ДОЛЖНОСТНЫХ ЛИЦ РАБОТОДАТЕЛЯ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ  РАБОТНИКОВ.
4.1. Администратор ИСПДн назначается приказом Президента Палаты и отвечает за:
  • организацию и проведение занятий с руководящим составом и сотрудниками   по вопросам защиты ПДн Работников;
  • ознакомление сотрудников, которые допускаются к обработке ПДн, с настоящим Положением;
  • ознакомление сотрудников, которые участвуют в обработке ПДн, с должностными инструкциями по работе и обеспечению режима информационной безопасности в ИСПДн;
  • проведение анализа возможности решения определенных задач в информационных системах ПДн и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств.
4.2. Администратор безопасности информационных систем ПДн назначается приказом Президента Палаты и отвечает за:
  • обеспечение бесперебойного функционирования программных и аппаратных средств информационных системах ПДн;
  • установку, подключение и настройку технических средств в соответствии с документацией к ним и планами организации и оснащения ИСПДн.;
  • установку (развертывание, обновление версий) программных средств, необходимых для решения в информационных системах ПДн  конкретных задач;
  • удаление программных средств, необходимость в использовании которых отпала;
  • установку (развертывание) новых информационных системах ПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач;
  • обеспечение защиты ПДн Работников в соответствии с настоящим положением  и иными руководящими нормативными правовыми актами по защите ПДн;
  • организацию проведения расследований по фактам нарушений в области защиты ПДн Работников и разработку предложений по устранению недостатков и предупреждению подобного рода нарушений;
  • своевременную разработку и реализацию мер по защите ПДн Работников;
  • организацию и проведение контроля состояния защиты ПДн Работников в информационных системах ПДн Палаты;
  • согласование мероприятий по защите ПДн Работников в информационных системах ПДн
  • определение необходимых мер по защите ПДн Работников, организацию их разработки и реализации;
  • анализ состояния работ по защите ПДн Работников и разработку предложений по совершенствованию системы защиты ПДн в информационных системах ПДн.
  • контроль за обеспечением защиты ПДн Работников в информационных системах ПДн;
  • своевременное обнаружение фактов несанкционированного доступа к ПДн Работников;
  • проводит работы по разработке, внедрению, совершенствованию и эксплуатации системы защиты ПДн Работников в информационных системах ПДн ;
  • организацию контрольных проверок информационных системах ПДн;
  • установку и ввод в эксплуатацию средств защиты ПДн Работников в соответствии с эксплуатационной и технической документацией к ним;
  • организацию в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн Работников, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений;
  • проведение анализа возможности решения (а также совмещения) указанных задач в конкретных информационных системах ПДн (с точки зрения обеспечения безопасности) и принятие решения об отнесении их к той или иной группе по степени защищенности;
  • проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности ПДн;
  • внедрение средств контроля эффективности противодействия попыткам НСД к информации и незаконного вмешательства в процесс функционирования ИСПДн.
 
Раздел 5. ПРАВА РАБОТНИКОВ В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ У РАБОТОДАТЕЛЯ.
5.1. Работники не должны отказываться от своих прав на сохранение и защиту ПДн.
5.2. Работодатель, Работники и их представители должны совместно вырабатывать меры защиты ПДн Работников.
5.3. В целях обеспечения защиты ПДн, обрабатываемых у Работодателя, Работники имеют право на:
–  свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей ПДн Работника, за исключением случаев, предусмотренных Федеральным Законом;
–  определение своих представителей для защиты своих ПДн;
–  доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
–  требование об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона.
5.4. При отказе Работодателя исключить или исправить ПДн Работника он:
           – имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия и обратиться в уполномоченный орган по защите прав субъектов ПДн. ПДн оценочного характера;
           – имеет право дополнить заявлением, выражающим его собственную точку зрения;
            – требование об извещении Работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях (Составляется в произвольной форме с ссылкой на требование об исключении или исправлении ПДн Работника);
–   обжалование в суде любых неправомерных действий или бездействия Работодателя при обработке и защите его информационных системах ПДн
 
Раздел 6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКА
6.1. Доступ к ПДн Работника ограничивается в соответствии с федеральными законами и настоящим Положением.
Доступ в организации (внутренний доступ):
6.2. Доступ к ПДн Работника имеет Президент Палаты, а также уполномоченные представители Работодателя – управляющий делами, а также иные лица, включенные в Перечень, оформленный в соответствии с п. 5.3. настоящего Положения.
6.3. Представители Работодателя имеют право получать только те ПДн Работника, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц и утвержденным Перечнем. Все остальные работники имеют право на полную информацию только об их ПДн и на ознакомление с данными персональными данными по обращении.
Внешний доступ (третьи лица):
6.4. Получение сведений о ПДн Работников третьей стороной разрешается только при наличии заявления с указанием конкретных ПДн, целей, для которых они будут использованы, способов обработки, иных сведений, установленных нормативными правовыми актами и внутренними документами Работодателя, а также письменного согласия Работника, ПДн которого затребованы.
 
Раздел 7. МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
 
7.1.      Работодатель определяет перечень своих Представителей, имеющих право доступа и обработки информации о ПДн, и соответствующие уровни доступа к этой информации.
7.2. Работодатель утверждает формы ведения учета выданных ПДн и уполномочивает своих Представителей на их ведение.
7.3. При автоматизированной обработке ПДн Работодатель использует специальное программное обеспечение и аппаратные средства.
7.4. Работодатель проводит ознакомление своих работников с нормативными правовыми актами и актами Работодателя в области защиты ПДн, в том числе в случае их изменения; разъясняет права, обязанности и ответственность Работников за нарушение норм в данной области.
7.5. Работодатель устанавливает особый режим хранения для документов, содержащих ПДн Работников. Перечень мест хранения этих документов устанавливается приказом Президента Палаты. На все места хранения, указанные в Перечне, распространяются следующие правила:
ПДн Работника, содержащиеся на бумажных носителях, должны храниться в запираемом шкафу или в сейфе.
7.6. Доступ к персональным данным Работника, содержащимся в информационных системах ПДн ограничивается определенными сотрудниками.
7.7. Сроки хранения документов устанавливаются Работодателем во внутреннем локальном акте.
 
Раздел 8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКОВ
Лица (Работники, представители Работодателя, Работодатель), виновные в нарушении нормативных правовых актов и внутренних актов Работодателя, регулирующих обработку и защиту ПДн Работника, могут быть привлечены к дисциплинарной, а также несут предусмотренную законодательством Российской Федерации ответственность.
 
 
Раздел 9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
 
9.1. Изменения и дополнения в настоящее Положение вносятся по мере изменения действующего законодательства Российской Федерации, вступления в силу новых и изменения действующих нормативных правовых актов, определяющих случаи и особенности обработки персональных данных.
9.2. При внесении изменений в действующие нормативные правовые акты либо издание новых нормативных правовых актов, определяющих случаи и особенности обработки персональных данных, Положение действует в части не противоречащей принятым нормативным актам.
9.3. Настоящее Положение вступает в силу с момента введения в действие приказом Президента Палаты.
9.4. С момента утверждения настоящего Положения утрачивают силу Положение «О защите персональных данных Нотариальной Палаты Республики Адыгея», утвержденное Президентом Палаты 15 января 2014 года.
 
Приложение №1
 
ПЕРЕЧЕНЬ
использованных понятий и терминов
 
Работодатель – Нотариальная  палата  Республики Адыгея в лице своих Представителей;
Представитель(и) Работодателя – лицо(а), которые в соответствии с договором, должностными обязанностями или внутренними документами Работодателя, уполномочены на доступ или обработку ПДн работника;
Работник – физическое лицо, вступившее в трудовые отношения с Работодателем;
ПДн Работника – информация, необходимая Работодателю в связи с трудовыми отношениями и касающиеся конкретного работника (более подробно см. Раздел 2);
Информация — сведения (сообщения, данные) независимо от формы их представления;
Обработка ПДн Работника – действия (операции) с персональными данными, включая сбор, просмотр, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн;
Использование ПДн Работника – действия (операции) с персональными данными, совершаемые Работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Работника или других лиц либо иным образом затрагивающих права и свободы Работника или других лиц;
Блокирование ПДн Работника – временное прекращение сбора, систематизации, накопления, использования, распространения ПДн Работника, в том числе их передачи;
Уничтожение ПДн Работника – действия, в результате которых невозможно восстановить содержание ПДн Работника -в информационной системе ПДн или в результате которых уничтожаются материальные носители ПДн;
Обезличивание ПДн Работника – действия, в результате которых невозможно определить принадлежность ПДн конкретному Работнику;
Распространение ПДн Работника – действия, направленные на передачу ПДн определенному кругу лиц (передача ПДн) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Цель обработки ПДн Работника – конкретный конечный результат действий, совершенных с персональными данными Работника, вытекающий из требований законодательства и направленный,   в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон трудовых отношений;
Информационная система ПДн – информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств;
Конфиденциальность ПДн – обязательное для соблюдения Работодателем или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия Работника или наличия иного законного основания;
Трансграничная передача ПДн – передача ПДн Работодателем через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
Общедоступные ПДн Работника – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия Работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. К общедоступным источникам, которые содержат ПДн Работника относятся:  внутренние акты Работодателя.