Защита персональных данных

УТВЕРЖДЕНО

решением Общего собрания

членов Ассоциации  Саморегулируемой

организации «Инженерно-Геологические

Изыскания в Строительстве»

Протокол от «30» мая 2017 г. № 22

Положение

«О защите персональных данных в Ассоциации Саморегулируемой организации «Инженерно-Геологические Изыскания в Строительстве»»

 

  1. Общие положения

1.1 Положение о защите персональных данных в Ассоциации Саморегулируемой организации «Инженерно-Геологические Изыскания в Строительстве» (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым, Гражданским, Уголовным кодексами Российской Федерации, Кодексом об административных правонарушениях Российской Федерации, Градостроительным Кодексом Российской Федерации, Федеральными законами: «Об информации, информационных технологиях и защите информации» и «О персональных данных», Уставом Ассоциации «ИГИС».

1.2 Настоящее Положение определяет комплекс мер, направленных на обеспечение защиты персональных данных работников Исполнительного органа Ассоциации, членов иных созданных или учрежденных органов Ассоциации и работников членов Ассоциации от несанкционированного доступа к ним, неправомерного их использования или утраты.

1.3 Настоящее Положение утверждается Общим собранием членов Ассоциации и является обязательным для исполнения всеми работниками Исполнительного органа, а также членами иных созданных или учрежденных органов Ассоциации, имеющими доступ к персональным данным работников Исполнительного органа Ассоциации, членов иных созданных или учрежденных органов Ассоциации и работников членов Ассоциации (далее Работник).

1.4 Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

  1. Понятие и состав персональных данных

2.1 Персональные данные работника - информация, необходимая работодателю или Ассоциации в связи с трудовыми отношениями или деятельностью Ассоциации и касающаяся конкретного работника. Под информацией о работнике понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. Персональные данные о работниках члена Ассоциации - информация, необходимая Ассоциации для обеспечения соблюдения членом Ассоциации требований, установленных в Ассоциации в соответствии с действующим законодательством.

2.2 В состав персональных данных работника входят:

- анкетные и биографические данные;

- сведения о полученном образовании;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате;

- сведения о социальных льготах;

- содержание трудового договора;

- декларируемые сведения о наличии материальных ценностей;

- специальность;

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- домашний, мобильный и иные телефоны работника;

- место работы или учебы членов семьи и родственников;

- данные о частной жизни и другие сведения.

2.3 Основными документами, в которых содержатся персональные данные работников, являются:

- трудовой договор;

- отчеты, направляемые в органы статистики, и их копии;

- декларации, подаваемые в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки работников;

- основания к приказам по личному составу;

- документы работников о полученном образовании;

- дела, содержащие документы о повышении квалификации и переподготовке работников, их аттестации, служебного расследования, и др.;

- анкетные и биографические данные;

- сведения о трудовом и общем стаже;

- паспортные данные;

- специальность;

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- специальность;

- занимаемая должность;

- наличие судимостей;

- адрес места жительства;

- наличие разрешения на работу (для иностранных граждан);

- протоколы заседаний специализированных органов Ассоциации.

2.4 Документы с персональными данными являются конфиденциальными, в то же время, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

  1. Обработка персональных данных

3.1 Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2 В целях обеспечения прав и свобод человека и гражданина, Ассоциация и ее представители при обработке персональных данных работников обязаны соблюдать следующие общие требования:

3.2.1 Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

3.2.2 При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и другими федеральными законами;

3.2.3 Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников, а также от членов Ассоциации в целях осуществления уставной деятельности Ассоциации;

3.2.4. Персональные данные работника следует получать у него самого, за исключением случаев, предусмотренных федеральным законом. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие, за исключением случаев, предусмотренных федеральным законом. Ассоциация и (или) член Ассоциации должны сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение, за исключением случаев, предусмотренных федеральным законом;

3.2.5 Ассоциации не имеет право получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни, кроме случаев, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия;

3.2.6 Ассоциации не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3 К обработке персональных данных работника члена Ассоциации могут иметь доступ работники Исполнительного органа в соответствии с должностными инструкциями, а также члены иных созданных или учрежденных Ассоциацией органов. К обработке персональных данных работников Исполнительного органа Ассоциации могут иметь доступ специально уполномоченные работники в соответствии с должностными обязанностями.

3.4 Использование персональных данных возможно только в соответствии с целями, определившими их получение. Персональные данные не могут быть использованы Ассоциацией в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено.

3.5 Передача (распространение, передача, доступ) персональных данных работника возможна только с согласия работника и его волеизъявлением, или в случаях, прямо предусмотренных законодательством.

3.5.1 При передаче персональных данных работника Ассоциации обязана соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности;

- разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.5.2 Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

3.6 Действие настоящего положения при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7 Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону, факсу или электронной почтой (в отсутствие электронного ключа).

3.8 Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9 При принятии решений, затрагивающих интересы работника, Ассоциация не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Ассоциация учитывает личные качества работника, его добросовестный и эффективный труд.

3.10 Юридическое лицо, являющееся членом Ассоциации, обязано принять следующие меры в целях правомерной передачи данных о своих работниках Ассоциации:

- получить от каждого работника, данные которого планируются к передаче Ассоциации, письменное согласие работника или его законного представителя, действующего на основании нотариально заверенной доверенности, на обработку Ассоциацией его персональных данных;

- принять все необходимые меры по защите персональных данных своих работников при передаче таких данных Ассоциации.

  1. Доступ к персональным данным

4.1 Внутренний доступ (доступ внутри Ассоциации). Право доступа к персональным данным работников Ассоциации и работников членов Ассоциации имеют:

- Исполнительный орган Ассоциации;

- работники Исполнительного органа - Совет, а также члены иных созданных или учрежденных органов Ассоциации (по направлению деятельности);

- сам работник, носитель данных.

4.2 Внешний доступ.

4.2.1 К числу массовых потребителей персональных данных вне организации относятся государственные и негосударственные функциональные структуры:

- органы налоговой инспекции;

- правоохранительные органы;

- органы статистики;

- страховые агентства;

- военные комиссариаты;

- органы социального страхования;

- пенсионные фонды;

- муниципальные органы управления;

- национальное объединение саморегулируемых организаций, членом которого является Ассоциация.

4.2.2 Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.2.3 Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

4.2.4 Другим организациям сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

4.2.5 Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника или по вступившему в законную силу решению суда.

4.2.6 Доступ к персональным данным работника может быть предоставлен путем размещения информации на сайте Ассоциации в сети Интернет только в случае письменного разрешения работника, за исключением случаев, предусмотренных федеральным законом.

  1. Защита персональных данных от угрозы утраты и несанкционированного доступа

5.1 Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию, доступ к информации в нарушение должностных полномочий сотрудников, доступ закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.

5.2 Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

5.3 Защита персональных данных представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Ассоциации.

5.4 Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Ассоциацией за счет собственных средств и в порядке, установленном федеральным законом.

5.5 «Внутренняя защита».

5.5.1 Для обеспечения внутренней защиты персональных данных работников Ассоциация обязуется соблюдать следующие меры:

- ограничить и регламентировать состав работников, функциональные обязанности которых требуют конфиденциальных знаний;

- избирательно и обоснованно распределить доступ к документам и информации между работниками аппарата исполнительного органа и членами иных созданных или учрежденных органов Ассоциации;

- контролировать знание работниками требований нормативно - методических документов по защите информации и сохранению тайны;

- организовать порядок уничтожения информации;

- своевременно выявлять нарушения требований разрешительной системы доступа работниками аппарата исполнительного органа и членами иных созданных или учрежденных органов Ассоциации.

5.5.2 Защита персональных данных сотрудников на электронных носителях. Информационные базы и иные вычислительные комплексы, используемые Ассоциацией и содержащие персональные данные сотрудников, должны быть защищены паролем.

5.6 «Внешняя защита».

5.6.1 Для обеспечения внешней защиты конфиденциальной информации применяются меры, препятствующие несанкционированному доступу к информации. Результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

5.6.2 Под посторонним понимается лицо, не имеющее непосредственного отношения к деятельности Ассоциации, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в Ассоциации.

5.6.3 Для обеспечения внешней защиты персональных данных сотрудников Ассоциация устанавливает:

- учет и порядок выдачи пропусков;

- технические средства охраны и (или) сигнализации.

5.7 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

5.8 По возможности персональные данные обезличиваются.

5.9 Кроме мер защиты персональных данных, установленных законодательством, Ассоциация и члены Ассоциации могут вырабатывать совместные меры защиты персональных данных работников.

  1. Права и обязанности работников исполнительного органа Ассоциации и работников членов Ассоциации

6.1 Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

6.2 Работники Исполнительного органа Ассоциации, члены иных созданных или учрежденных органов Ассоциации и работники членов Ассоциации, участвующие в деятельности Ассоциации, обязаны ознакомиться под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

6.3 В целях защиты персональных данных, хранящихся в Саморегулируемой организации, работники Исполнительного органа Ассоциации, члены иных созданных или учрежденных органов Ассоциации и работники членов Ассоциации, участвующие в деятельности Ассоциации, имеют право:

- требовать исключения или исправления неверных или неполных персональных данных;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

- определять своих представителей для защиты своих персональных данных;

- на сохранение и защиту своей личной и семейной тайны.

6.4 Работники Исполнительного органа Ассоциации, члены иных созданных или учрежденных органов Ассоциации и работники членов Ассоциации, а также члены Ассоциации обязаны:

- передавать Ассоциации или ее представителю комплекс достоверных, документированных персональных данных, состав которых установлен нормативно-правовыми актами Российской Федерации;

- своевременно сообщать Ассоциации об изменении своих персональных данных, а также об изменении персональных данных своих работников.

6.5 Работники Исполнительного органа Ассоциации, члены иных созданных или учрежденных органов Ассоциации, ставят в известность уполномоченное лицо об изменении фамилии, имени, отчества, даты рождения, образования, профессии, специальности, присвоении нового разряда и пр.

6.6 Члены Ассоциации ставят Ассоциацию в известность об изменениях фамилии, имени, отчества, даты рождения, образования, профессии, специальности работников, заявленных для подтверждения соответствия требованиям к выдаче свидетельства о допуске к работам, которые оказывают влияние на безопасность объектов капитального строительства, в течение 30 дней с момента изменения указанных сведений.

  1. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1. Работники Исполнительного органа Ассоциации и работники членов Ассоциации, участвующие в деятельности Ассоциации, а также члены Ассоциации несут персональную ответственность за разглашение конфиденциальной информации, связанной с персональными данными.

7.2 Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее в рамках деятельности Ассоциации, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3 Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4 Каждый работник Исполнительного органа Ассоциации, а также иные лица, участвующие в деятельности Ассоциации, получающие для работы конфиденциальный документ, несут единоличную ответственность за сохранность носителя и конфиденциальность хранящейся на нем информации.

7.5 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско- правовую или уголовную ответственность в соответствии с федеральными законами.

  1. Неотъемлемой частью настоящего Положения являются:

Приложение 1 - форма обязательства по исполнению настоящего Положения;

Приложение 2 - форма заявления работника юридического лица - члена Ассоциации о согласии на предоставление персональных данных в Ассоциацию;

Приложение 3 - форма заявления работника Исполнительного органа Ассоциации о согласии на предоставление персональных данных в Ассоциацию.

  1. Заключительные положения

9.1 Настоящее Положение, изменения, внесенные в настоящее Положение, решение о признании утратившим силу настоящего Положения вступают в силу со дня внесения сведений о нем в государственный реестр саморегулируемых организаций, но не ранее 01.07.2017 г.

9.2 Если в результате изменения законодательства и нормативных актов Российской Федерации отдельные статьи настоящего Положения вступают в противоречие с ними, эти статьи считаются утратившими силу и до момента внесения изменений в настоящее Положение члены Ассоциации руководствуются законодательством и нормативными актами Российской Федерации.

 

Генеральный директор Ассоциации «ИГИС» ________________________ Васильева Ю.А.