Положение Экологического союза в отношении обработки персональных данных

Утверждено приказом № 01/2020-общ от 10.02.2020

Настоящее Положение разработано на основании Конституции Российской Федерации, Федерального закона от 19 декабря 2005 года №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и призвано обеспечить права работников Экологического союза (далее – ЭС), а также иных лиц при обработке их персональных данных.

1. Основные понятия.

1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»).

1.2. Порядок работы с обращениями граждан регламентирован Федеральным законом Российской Федерации от 2 мая 2006 г. №59-ФЗ “О порядке рассмотрения обращений граждан Российской Федерации”.

1.3. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст. 85 Трудового кодекса Российской Федерации).

1.4. Обработка персональных данных работников и иных физических лиц (клиентов, контрагентов, партнеров, добровольцев и пр.) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.5. К персональным данным работника, получаемым ЭС и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения:

Фамилия, имя, отчество;

Место, год и дата рождения;

Адрес регистрации;

Адрес фактического места жительства;

Паспортные данные (серия, номер паспорта, кем и когда выдан);

Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

Информация о трудовой деятельности до приема на работу;

Информация о трудовом стаже (место работы, должность, период работы, основания увольнения);

Абонентские телефонные номера (домашний, рабочий, мобильный);

Адрес электронной почты;

Семейное положение и состав семьи (муж/жена, дети);

Информация о знании иностранных языков;

Информация о расчетных счетах;

Оклад;

Данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и дата документа об изменениях в трудовом договоре, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);

Сведения об отношении к воинской обязанности (состояние на воинском учете, категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);

Сведения о постановке на учет в налоговом органе (ИНН);

Сведения об аттестации работника;

Сведения о повышении квалификации;

Сведения о наградах, медалях, поощрениях, почетных званиях;

Информация о приеме на работу, перемещении по должности, увольнении;

Информация об отпусках;

Информация о командировках;

Информация о негосударственном пенсионном обеспечении;

Иные документы, содержащие сведения о работнике, которые необходимы для корректного документированного оформления договорных отношений с работником.

1.6. Перечень персональных данных физических лиц, не являющихся работниками ЭС (клиентов, контрагентов, партнеров и иных физических лиц), определяется ЭС в зависимости от характера правоотношений между ЭС и субъектом персональных данных в соответствии с действующим законодательством, в которые входят:

персональные данные, предоставляемые субъектом персональных данных при заполнении соответствующих форм (полей) на сайте ЭС www.ecounion.ru, в том числе при заполнении контактной формы, при подписке на новостную рассылку, при регистрации на мероприятия или записи на консультацию — ФИО, организационно-правовая форма и наименование организации, должность, номер контактного телефона и адрес электронной почты;

персональные данные, указываемые субъектом персональных данных в электронных и иных сообщениях, направляемых в адрес ЭС, объем которых зависит от содержания и характера сообщения;

технические данные, автоматически передаваемые устройствами, используемыми субъектом персональных данных для заполнения соответствующих форм (полей) на сайте ЭС, в том числе технические характеристики устройств, ІР-адрес, информация в файлах «cookies», информация о браузере, дата и время пользования сайтом ЭС, адреса запоминаемых страниц сайта ЭС и иная подобная информация.

 

2. Основные условия осуществления обработки персональных данных.

2.1. ЭС определяет объем, содержание обрабатываемых персональных данных работников и иных физических лиц, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

2.2. Обработка персональных данных работников ЭС осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.

ЭС осуществляет обработку персональных данных работников при наличии письменного согласия субъекта персональных данных, за исключением предусмотренных действующим законодательством случаев, когда наличие письменного согласия субъекта персональных данных не требуется.

2.3. Обработка ЭС персональных данных клиентов, контрагентов, партнеров и иных физических лиц осуществляется лишь в тех целях и объеме, в которых этого требует установление и реализация правоотношений между ЭС и субъектом персональных данных, в соответствии с действующим законодательством.

ЭС осуществляет обработку персональных данных клиентов, контрагентов, партнеров и иных физических лиц при наличии письменного согласия субъекта персональных данных, за исключением предусмотренных действующим законодательством случаев, когда наличие письменного согласия субъекта персональных данных не требуется.

2.4. Все персональные данные предоставляются субъектом персональных данных. Если персональные данные субъекта возможно получить только у третьей стороны, то ЭС обязан заранее уведомить об этом субъекта персональных данных и получить его письменное согласие. ЭС обязан сообщить субъекту персональных данных о целях и правовом основании их обработки, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их обработку, разъяснить предусмотренные федеральным законом права субъекта персональных данных.

2.5. ЭС не имеет права получать и обрабатывать персональные данные субъекта (работника или иного физического лица) о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия.

2.6. ЭС не имеет права получать и обрабатывать биометрические персональные данные субъектов (характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность), в том числе фото- и видеоизображения, без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законом.

2.7. ЭС не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

2.8. Работники или их представители обязаны быть ознакомлены под роспись с настоящим Положением, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

2.9. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные.

2.10. ЭС обеспечивает неограниченный доступ к настоящему Положению путем предоставления его копии для ознакомления по устному или письменному запросу физических или юридических лиц. Текст настоящего Положения размещается в открытом доступе на официальном сайте ЭС www.ecounion.ru. ЭС вправе разместить текст настоящего Положения для неограниченного доступа на иных сайтах в информационно-телекоммуникационной сети «Интернет» или опубликовать в средствах массовой информации.

Перед получением от субъекта персональных данных (работника, клиента, контрагента, партнера или иного физического лица) письменного согласия на обработку его персональных данных, ЭС обеспечивает его возможность ознакомиться с настоящим Положением. В случае если впоследствии субъект персональных данных дает письменное согласие на обработку его персональных данных, в текст письменного согласия вносится отметка о том, что субъект персональных данных ознакомлен с настоящим Положением.

2.11. Субъекту персональных данных, дающему письменное согласие на обработку его персональных данных, разъясняется порядок его отзыва, а также то, что в случае отзыва субъектом своего согласия на обработку персональных данных, их обработка может быть продолжена Союзом при наличии оснований, предусмотренных федеральным законом.

2.12. Работникам ЭС запрещается ввод персональных данных в информационные системы под диктовку, а так же обработка персональных данных в присутствии лиц, не допущенных к их обработке. Мониторы ПЭВМ должны быть расположены таким образом, что бы исключить возможность просмотра персональных данных, отображаемых на экране, лицами, не допущенными к обработке персональных данных.

3. Хранение персональных данных.

3.1. Персональные данные работников и иных физических лиц хранятся в бумажном виде в папках у главного бухгалтера ЭС в специально отведенных шкафах. Вход в кабинет главного бухгалтера и доступ к персональным данным разрешен только работникам ЭС, допущенным к обработке персональных данных.

Персональные данные работников и иных физических лиц могут также храниться в электронном виде на локальных компьютерах, подключенных к локальной компьютерной сети. Локальная компьютерная сеть ЭС имеет возможность подключения к информационно-телекоммуникационной сети «Интернет».

Рабочие места, на которых обрабатываются персональные данные работников, расположены в отдельных помещениях, с ограниченным доступом. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается на рабочих местах ЭС, подключение к сети Интернет защищено с помощью программного обеспечения ЭС.

Приказом Директора назначается лицо, ответственное за организацию обработки персональных данных.

3.2. Доступ работников к персональным данным осуществляется согласно списку, утверждаемому приказом Директора.

3.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя организации или лица, ответственного за обработку персональных данных.

3.4. Для защиты персональных данных сотрудников и иных физических лиц осуществляется порядок учета и контроля посетителей в помещениях ЭС. Учет посетителей ведется в соответствующем журнале. Прием посетителей разрешен только в тех помещениях, где не хранятся персональные данные и не производится их обработка.

3.5. Для передачи персональных данных используются учтенные носители информации (съемные жесткие диски, flash-карты и др.). Учет носителей информации отражен в журнале учета носителей информации объекта вычислительной техники.

4. Права и обязанности работников в области обработки персональных данных.

4.1. Работники обязаны:

передавать работодателю или его представителю комплект достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом Российской Федерации;

своевременно сообщать работодателю об изменении своих персональных данных.

4.2. Работники имеют право на:

получение полной информации о своих персональных данных и их обработке;

определение своих представителей для защиты своих персональных данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

требование об исключении или исправлении (уточнении) неверных или неполных персональных данных, а также данных, обработанных с нарушением Трудового кодекса Российской Федерации;

требование об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

5. Конфиденциальность, передача, трансграничная передача персональных данных.

5.1. При передаче персональных данных субъектов (работников и иных физических лиц) ЭС обязан соблюдать следующие требования:

не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;

не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

5.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

5.3. К числу массовых потребителей персональных данных вне Союза относятся государственные и негосударственные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в рамках своей компетенции.

5.4. Организации, в которые работник может осуществлять перечисления денежных средств (страховые общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только с его письменного разрешения.

5.5. Деятельность Союза может включать в себя реализацию различных программ или проектов, финансирование которых осуществляется за счет средств иностранных граждан, организаций, органов власти иностранных государств. В рамках отчетности о реализации вышеуказанных программ или проектов Союза может осуществлять, в том числе, трансграничную передачу персональных данных работников и иных физических лиц, задействованных в их реализации. Трансграничная передача персональных данных в рамках отчетности по реализуемым программам или проектам осуществляется Союзом только при наличии письменного согласия субъекта персональных данных в том объеме, в котором этого требует обязанность предоставления отчетов. Формы отчетности и способ передачи отчетов, содержащих персональные данные субъектов, определяются организаторами программ или проектов и учитываются при получении Союзом письменного согласия субъекта персональных данных.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников и клиентов

6.1. Руководитель, разрешающий доступ сотрудника к документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

6.2. Каждый сотрудник Союза, получающий для работы конфиденциальный документ, указанный в п. 6.1, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.