Межрегиональная
Санкт-Петербурга и Ленинградской области организация
Общероссийского профессионального союза работников культуры

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приложение № 2 к Распоряжению от 23.11.2021 г.

ПОЛОЖЕНИЕ об обработке персональных данных в Межрегиональной Санкт-Петербурга и Ленинградской области организации Общероссийского профессионального союза работников культуры

Общие положения

1.1. Настоящее Положение разработано в соответствии с:

Конституцией Российской Федерации;
Трудовым Кодексом Российской Федерации;
Федеральным законом Российской Федерации № 152-ФЗ
«О персональных данных» от 27.07.2006;
Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006;
«Перечнем сведений конфиденциального характера», утвержденным Указом Президента Российской Федерации от 06.03.1997 № 188.

1.2. Цель разработки настоящего Положения — определение порядка обработки ПДн субъектов ПДн и меры по обеспечению безопасности персональных данных в Межрегиональной СПб и ЛО организации ОПРК (далее – Межрегиональная организация, Профсоюз, Оператор).

1.3. К действиям, совершаемым с персональными данными, относятся их сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

1.4. Настоящее Положение применяется к персональной информации, которую Оператор получает (может получать) от профсоюзных работников, членов Профсоюза, в том числе через веб-сайт Межрегиональной организации https://www.spbprk.ru

1.5. Физическое лицо (субъект персональных данных) имеет право на получение информации, касающейся обработки его персональных данных, а Оператор обязан сообщить физическому лицу о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в соответствии с нормами Федерального закона о персональных данных.

1.6. Порядок ввода в действие и изменения Положения.

1.6.1. Настоящее Положение вступает в силу с момента его утверждения руководителем Оператора и действуют бессрочно, до замены его новым Положением.

1.6.2. Все изменения в Положение вносятся распоряжением председателя Межрегиональной организации.

1.6.3. Действие настоящего Положения распространяется на все профсоюзные организации, состоящие на реестровом учете в Межрегиональной СПб и ЛО организации ОПРК и не имеющие статус юридического лица (далее – профсоюзные организации).

1.6.4. Настоящее Положение должно быть доведено до каждого работника Оператора, осуществляющего обработку ПДн, под роспись.

Основные понятия (термины)

2.1. Для целей настоящего Положения используются следующие основные понятия (термины) и сокращения:

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Положением.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка ПДн без использования средств автоматизации (неавтоматизированная) — обработка персональных данных соответствующая характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяющая осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Общедоступные ПДн — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Предоставление ПДн — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение ПДн — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Использование ПДн — действия (операции) с персональными данными, совершаемые должностным лицом (лицами) Управления в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

Автоматизированная обработка ПДн — обработка персональных данных с помощью средств вычислительной техники.

Блокирование ПДн — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — обязанность Управления и его сотрудников не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Цели обработки персональных данных.

3.1. Межрегиональная СПб и ЛО организация ОПРК и профсоюзные организации собирают и используют персональные данные для своей уставной деятельности и выполнения требований законодательства РФ, а именно:

для регулирования трудовых отношений с работниками Межрегиональной организации, профсоюзной организации, в том числе ведение кадрового учета, учет рабочего времени профсоюзных работников, расчет заработной платы профсоюзных работников, ведение налогового учета, ведение воинского учета, представление отчетности в государственные органы, архивное хранение данных;
для предоставления профсоюзным работникам и членам Профсоюза дополнительных гарантий и компенсаций;
для принятия решения о принятии заявителя в члены Профсоюза с последующей выдачей профсоюзного билета;
для представительства и защиты индивидуальных и коллективных социальных, трудовых, профессиональных прав и интересов членов Профсоюза;
для сбора статистической информации о членах Профсоюза в целях организации автоматизированного и неавтоматизированного учета членов Профсоюза;
для участия членов Профсоюза в программе по предоставлению скидок, бонусов и различного рода привилегий при приобретении товаров и услуг;
для сбора статистической информации о членах Профсоюза, работников Межрегиональной организации и профсоюзных организаций в иных целях, в том числе через веб-сайт https://www.spbprk.ru;
для подготовки, заключения, исполнения и прекращения договоров с контрагентами;
иные законные цели.

Правовые основания обработки персональных данных

4.1. Правовыми основаниями обработки персональных данных в Профсоюзе являются международные договоры Российской Федерации, законы Российской Федерации, постановления Правительства Российской Федерации и иные нормативные правовые акты Российской Федерации, постановления Правительства Санкт-Петербурга и Ленинградской области, договоры, заключаемые между Оператором и субъектом персональных данных, уставные документы Оператора.

4.2. Обработка Оператором персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных.

4.3. Оператор обрабатывает персональные данные в случае их заполнения физическим лицом через специальные формы на веб-сайте Межрегиональной организации https://www.spbprk.ru

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1. Персональные данные, обрабатываемые в Межрегиональной СПб и ЛО организации ОПРК, профсоюзных организациях относятся к сведениям конфиденциального характера (конфиденциальной информации).

5.2 К категориям субъектов персональных данных относятся:

члены Профсоюза;
работники Профсоюза (в том числе бывшие), их родственники, кандидаты на замещение вакансий, стажеры, практиканты и обучающиеся;
субъекты ПДн, не являющиеся сотрудниками (контрагенты, являющиеся физическими лицами; представители и работники контрагентов, являющихся юридическими лицами).

5.3. К категориям обрабатываемых персональных данных относятся:

Фамилия, имя, отчество;
Сведения о дате и месте рождения;
Пол;
Реквизиты документа, удостоверяющего личность;
Сведения о семейном положении;
Сведения о персональном составе семьи;
Электронный адрес;
Номера телефонов;
Адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;
Сведения об образовании, профессии, специальности и квалификации;
Место работы и занимаемая должность;
Место учебы;
Сведения о профсоюзной деятельности;
Номер профсоюзного билета;
Страховой номер индивидуального лицевого счета;
Индивидуальный номер налогоплательщика;
Сведения о воинском учете.

5.4. При приеме на работу в Профсоюз обрабатываются следующие персональные данные физического лица:

общие сведения (фамилия, имя, отчество; сведения о дате и месте рождения; пол; реквизиты документа, удостоверяющего личность; сведения о семейном положении; адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания; сведения об образовании, профессии, специальности и квалификации; страховой номер индивидуального лицевого счета; индивидуальный номер налогоплательщика);
сведения о воинском учете; электронный адрес; номера телефонов;
другие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.

5.5. При принятии в члены Профсоюза, обрабатываются следующие персональные данные физического лица:

общие сведения (фамилия, имя, отчество; сведения о дате рождения; пол; сведения о семейном положении; сведения о персональном составе семьи; адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания; сведения об образовании, профессии, специальности и квалификации; место работы и занимаемая должность; место учебы; страховой номер индивидуального лицевого счета);
сведения о профсоюзной деятельности; номер профсоюзного билета;
электронный адрес; номера телефонов.

5.6. Все персональные данные предоставляются работником.

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 ст. 18 Федерального закона «О персональных данных» до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных, ее правовое основание и перечень персональных данных;

3) предполагаемые пользователи персональных данных;

4) установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

5) источник получения персональных данных.

5.7. Работодателем обеспечивается конфиденциальность персональных данных работников, за исключением общедоступных персональных данных и случаев обезличивания персональных данных.

Ко всем остальным персональным данным работников применяется режим конфиденциальности до тех пор и в пределах, когда на условиях и в порядке, предусмотренных Положением, иными локальными нормативными актами и документами работодателем, они не стали общедоступными персональными данными работников либо не обезличены.

5.8. К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя, в том числе в информационных системах персональных данных работодателя, в порядке, предусмотренном законодательством Российской Федерации и настоящим Положением, относятся сведения, содержащиеся в личном деле работника, других документах кадрового делопроизводства, профсоюзного учета и иных документах, составляемых (формируемых) у работодателя в процессе трудовой деятельности работника, в том числе:

– в копии паспорта работника;

– в копии страхового свидетельства государственного пенсионного страхования;

– в копии документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

– в копии документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);

– в анкете, заполненной работником при поступлении на работу или в процессе работы (включающей сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);

– в автобиографии;

– в трудовом договоре и соглашениях к нему;

– в приказах о приеме, переводах, приостановлении и прекращении трудового договора, повышении заработной платы, премировании;

– в личной карточке по форме Т-2;

– в заявлениях, объяснительных и служебных записках работника;

– в документах о прохождении работником аттестации, собеседования, повышения квалификации;

– в документах, составляемых для назначения в установленном порядке трудовой пенсии и негосударственной (корпоративной) пенсии;

— в документах профсоюзного учета;

– в иных документах и их копиях, содержащих сведения о работнике, составление (оформление) которых обусловлено наличием между работодателем и работником трудовых отношений и иных непосредственно связанных с ними отношений.

5.9. Перечень персональных данных, действия, способы их обработки и защиты определяются настоящим Положением, Положением о защите персональных данных, Правилами внутреннего трудового распорядка, иными локальными нормативными актами и документами Межрегиональной СПб и ЛО организации ОПРК.

5.10. Первичное занесение персональных данных работников в документы, ведущимся по формам, определяемым законодательством Российской Федерации и локальными нормативными актами работодателя — Профсоюза, а также в создаваемые информационные системы персональных данных работников, осуществляется специалистами Межрегиональной организации, профсоюзной организации на которых возложены функции ведения кадрового делопроизводства, на основе предоставленных работником документов и сведений при приеме на работу.

5.11. В целях информационного обеспечения работников и членов Профсоюза могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, абонентский номер, адрес места работы, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

5.12. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Обработка персональных данных работников

6.1. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по работе, оформления документов для назначения пенсий, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.

6.2. Обработка персональных данных осуществляется с письменного согласия работника за исключением установленных законом случаев.

6.3. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 г. № 18.

6.4. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

6.5. Равнозначным содержащему собственноручную подпись работника – субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

6.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения возложенных на него обязанностей.

6.7. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

6.8. В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

6.9. Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных статьей 22 Федерального закона «О персональных данных».

6.10. При предоставлении сведений оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.

6.11. Работодатель не вправе получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях.

Данное правило полностью распространяется на персональные данные работника о его частной жизни, за исключением случаев, непосредственно связанных с вопросами трудовых отношений, предоставлением ему льгот и гарантий, когда работодателем получено письменное согласие работника на получение и обработку этих персональных данных.

6.12. Работник (член Профсоюза) самостоятельно и добровольно решает вопрос об извещении работодателя (его представителей) о своем членстве в Профсоюзе (других общественных объединениях) или о своей профсоюзной деятельности с целью исключения последующего признания факта злоупотребления им своими правами, предоставленными в сфере труда.

При этом получение и обработка работодателем указанных персональных данных работника не допускается, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

6.13. В случае изменения персональных данных: фамилии, имени, отчества, адреса места жительства, паспортных данных, сведений об образовании, семейном положении, наличии детей, состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его трудовых обязанностей и т.п.), работник обязан в течение 5 рабочих дней известить об этом подразделение кадров и предоставить соответствующие документы (и/или их копии).

6.14. Случаи, порядок и условия блокирования, обезличивания и уничтожения персональных данных работников определяет работодатель, если иное не установлено настоящим Положением и законодательством Российской Федерации.

6.15. При выявления недостоверных персональных данных работников оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему работнику. В течение трех рабочих дней на основании представленных работником или его законным представителем документов, иных необходимых документов оператор обязан уточнить персональные данные и снять их блокирование.

6.16. Лица, допущенные к обработке ПДн, в обязательном порядке под роспись знакомятся с требованиями настоящих Правил.

6.17. Профсоюз в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам только с согласия самого субъекта, за исключением случаев, установленных федеральным законодательством Российской Федерации.

6.18. В Профсоюзе не обрабатываются биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

В Профсоюзе не осуществляется трансграничная передача персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
Все базы данных информации, содержащие персональные данные граждан Российской Федерации, используемые Профсоюзом при обработке персональных данных, находятся на территории Российской Федерации.
Способ обработки персональных данных может быть автоматизированным (с использованием средств вычислительной техники) и неавтоматизированным (только вручную).
В Профсоюзе запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.
В Профсоюзе не осуществляется обработка данных о судимости субъектов (возможна обработка документов, подтверждающих отсутствие судимости субъекта персональных данных).
Профсоюз не размещает персональные данные субъекта в общедоступных источниках без его письменного согласия.
Сроком обработки персональных данных считается период от начала обработки персональных данных до ее прекращения.
Дата прекращения срока обработки персональных данных определяется наступлением одного из следующих событий:
достигнуты цели обработки персональных данных;
истек срок действия согласия субъекта персональных данных или он отозвал согласие на обработку персональных данных;
обнаружена неправомерная обработка персональных данных;
прекращена деятельность организации.

Обязанности оператора

7.1. Оператор обязан:

1) применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;

2) разрешать доступ к персональным данным работников, членов Профсоюза только специально уполномоченным лицам;

3) передавать персональные данные работника, члена Профсоюза представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом «О персональных данных», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

4) не сообщать персональные данные работника, члена Профсоюза третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральными законами;

5) не сообщать персональные данные работника, члена Профсоюза в коммерческих целях без его письменного согласия;

6) предупреждать лиц, получающих персональные данные работника, члена Профсоюза о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

7) не запрашивать информацию о состоянии здоровья работника, члена Профсоюза за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

8) предоставить работнику, члену Профсоюза по его просьбе информацию, касающуюся обработки его персональных данных,

8) разъяснить работнику, члену Профсоюза порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

10) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

11) в случае выявления неправомерной обработки персональных данных (при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных) оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки;

12) в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;

13) в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3-х (трёх) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора;

14) в случае, если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;

15) уведомить уполномоченный орган по защите прав субъектов персональных данных и иные определенные законодательством Российской Федерации органы в установленные сроки в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом;

16) издать локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

7.2. Работодатель, Профсоюз своим приказом (распоряжением) назначает ответственного за организацию обработки персональных данных, которое ему подотчетно.

7.3. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;

4) исполнять иные обязанности, предусмотренные законодательством о персональных данных.

Права и обязанности работника, члена Профсоюза

8.1. Работник, член профсоюза имеют право:

1) получать полную информацию о своих персональных данных и их обработке, в том числе содержащей:

— подтверждение факта обработки персональных данных оператором;

— правовые основания и цели обработки персональных данных;

— цели и применяемые оператором способы обработки персональных данных;

— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

— информацию о способах исполнения оператором обязанностей по защите персональных данных, установленных федеральным законом.

2) свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при обращении работника в подразделение кадров или иное подразделение, в ведении которого находятся вопросы заработной платы;

3) определения своих представителей для защиты своих персональных данных;

4) требовать об исключении или исправлении неверных, либо неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации и Федерального закона «О персональных данных». Указанное требование должно быть оформлено письменным заявлением работника, члена Профсоюза на имя работодателя, Профсоюза. При отказе исключить или исправить персональные данные работник, член Профсоюза вправе заявить в письменном виде о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник, член Профсоюза имеет право дополнить заявлением, выражающим его собственную точку зрения;

5) требовать об извещении работодателем, Профсоюзом всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, члена Профсоюза обо всех произведенных в них исключениях, исправлениях или дополнениях;

6) обжаловать в суде любые неправомерные действия или бездействия работодателя, Профсоюза при обработке и защите его персональных данных.

8.2. Если работник, член Профсоюза считает, что обработка его персональных данных осуществляется с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8.3. Работник, член Профсоюза имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.4. В целях обеспечения достоверности персональных данных работники, члены Профсоюза обязаны:

1) при приеме на работу, вступлении в Профсоюз представлять достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации;

2) в сроки, предусмотренные Положением, сообщать об изменении своих персональных данных.

Хранение персональных данных

9.1. Персональные данные работников, членов Профсоюза на бумажных носителях хранятся в специально предназначенном для этого помещении и/или электронных носителях – в других обособленных помещениях работодателя, Профсоюза закрывающимся на замок.

9.2. В процессе хранения персональных данных работников, членов Профсоюза должны обеспечиваться:

– организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

– обеспечение сохранности носителей персональных данных;

– требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;

– сохранность имеющихся данных и ограничение доступа к ним, в соответствии с законодательством Российской Федерации и Положением;

– контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

9.3. Перечень лиц, имеющих доступ к персональным данным работников, а также специально уполномоченных лица, определяется приказом (распоряжением) председателя Межрегиональной организации, профсоюзной организации.

9.4. Специально уполномоченные лица имеют право получать только те персональные данные работников, которые необходимы им для выполнения возложенных на них должностных обязанностей. Доступ иных лиц к персональным данным работника предоставляется только по заявлению либо согласию конкретного работника, члена профсоюза.

9.5. Все лица, допущенные к персональным данным работников, членов Профсоюза знакомятся с требованиями, предусмотренными Трудовым кодексом Российской Федерации, иными федеральными законами и локальными нормативными актами Профсоюза о неразглашении указанных если иной порядок не предусмотрен федеральными законами, и подписывают Обязательство о неразглашении персональных данных.

9.6. Требования о неразглашении работниками полученных персональных данных и ответственности за их несоблюдение могут быть, кроме того, предусмотрены в трудовом договоре или должностной инструкции лица, допущенного к персональным данным работников.

9.7. Хранение трудовых книжек работников осуществляется в соответствии с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовых книжек и обеспечения ими работодателей, утвержденными постановлением Правительства Российской Федерации.

9.8. Хранение ПДн работника, члена Профсоюза должно осуществляться не дольше, чем того требуют цели их обработки, либо установленные сроки хранения документов, содержащих эти данные. По достижении целей их обработки (или в случае утраты необходимости в их достижении) либо по истечении указанных сроков хранения таких документов персональные данные работника подлежат уничтожению, а документы в установленном порядке – уничтожению или сдаче в архив.

9.9. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование.

Передача персональных данных

10.1. Согласие на обработку ПДн, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

10.2. При передаче ПДн субъекта уполномоченные лица должны придерживаться следующих требований:

Передача ПДн субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, установленных федеральными законами;
Не допускается передача ПДн субъекта в коммерческих целях без его письменного согласия;
Передача ПДн по телефону запрещается;
Работникам Межрегиональной СПб и ЛО организации ОПРК, профсоюзных организаций имеющим доступ к ПД, запрещены запись, хранение и вынос за пределы организации на внешних носителях информации (диски, дискеты, USB флэш-карты и т.п.), передача по внешним адресам электронной почты или размещение в сети Интернет информации, содержащей ПДн субъектов, за исключением случаев, указанных в настоящем Положении или установленных иными внутренними документами Межрегиональной организации, профсоюзной организации;
Передача третьим лицам документов (иных материальных носителей), содержащих ПДн субъектов, осуществляется по письменному запросу третьего лица на предоставление ПДн субъекта. Ответы на письменные запросы даются на бланке Межрегиональной организации, профсоюзной организации в том объеме, который позволяет не разглашать излишних сведений о субъекте ПДн;
Представителю субъекта (в том числе адвокату) ПДн передаются в порядке, установленном действующим законодательством и настоящим документом. Информация передается при наличии одного из документов:
нотариально удостоверенной доверенности представителя субъекта;
письменного заявления субъекта, написанного в присутствии уполномоченного сотрудника (если заявление написано субъектом не в его присутствии, то оно должно быть нотариально заверено);
Предоставление ПДн субъекта государственным органам производится в соответствии с требованиями действующего законодательства Российской Федерации;
ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта без его согласия допускается действующим законодательством РФ;
Документы, содержащие ПДн субъекта, могут быть отправлены посредством федеральной почтовой связи заказным письмом. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие ПДн, вкладываются в конверт, в документах делается надпись о том, что ПДн, содержащиеся в письме, являются конфиденциальной информацией и не подлежат распространению и (или) опубликованию. Лица, виновные в нарушении требований конфиденциальности, несут ответственность, предусмотренную законодательством Российской Федерации.
Учет переданных ПДн осуществляется в рамках принятых в Межрегиональной организации, профсоюзной организации правил делопроизводства путем регистрации входящей и исходящей корреспонденции и запросов. Фиксируются сведения о лицах, направивших такие запросы, дата выдачи ПДн, а также дата уведомления об отказе в предоставлении ПДн (в случае отказа).
В случае, если лицо, обратившееся в Межрегиональную организацию, профсоюзную организацию с запросом на предоставление ПДн, не уполномочено на получение информации, относящейся к ПДн, уполномоченные лица Межрегиональной организации, профсоюзной организации обязаны отказать данному лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция). В случае, если запрашивались ПДн работника Межрегиональной организации, профсоюзной организации копия уведомления также подшивается в личное дело работника, ПДн которого не были предоставлены.

10.3. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

10.4. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

11. Уничтожение ПДн

ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Уничтожение ПДн, не подлежащих архивному хранению, осуществляется ответственными в организации лицами за обработку и защиту ПДн. По результатам уничтожения должен оформляться Акт.

Ответственность

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, установленных действующим законодательством Российской Федерации и настоящим Положением, несут ответственность, предусмотренную законодательством Российской Федерации.
Работник, которому в силу трудовых отношений с Межрегиональной организацией, профсоюзной организацией стала известна информация, составляющая ПДн, в случае нарушения режима защиты этих ПДн несет материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами Российской Федерации.
Разглашение ПДн субъектов ПДн (передача их посторонним лицам, в том числе работникам Межрегиональной организации, профсоюзной организации не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Межрегиональной организации, профсоюзной организации может повлечь наложение на работника, имеющего доступ к ПДн, дисциплинарного взыскания, если иное не предусмотрено законодательством РФ.

Дополнительные положения

13.1. Каждый работник, член Профсоюза должен быть ознакомлен с настоящим Положением под роспись при приеме на работу, вступлении в Профсоюз а для работников, членов Профсоюза принятых ранее даты его утверждения, не позднее 1 (одного) месяца с даты утверждения настоящего Положения.

13.2. В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Профсоюз обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.

13.3. В случае подтверждения факта неточности в персональных данных они подлежат актуализации Оператором, а при неправомерности их обработки такая обработка должна быть прекращена.

13.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на обработку персональных данных согласия на их обработку персональные данные подлежат уничтожению.

13.5. Настоящее Положение должно быть опубликовано на официальном сайте Межрегиональной Санкт-Петербурга и Ленинградской области организации Общероссийского профессионального союза работников культуры https://www.spbprk.ru

ЛИСТ ОЗНАКОМЛЕНИЯ

Подтверждаю, что ознакомлен(а) с действующей на момент подписания версией Положения об обработке персональных данных в Межрегиональной Санкт-Петербурга и Ленинградской области организации Общероссийского профессионального союза работников культуры, профсоюзной организации.

________________________________ ____________(подпись) «___»___20___г.