1.Общие положения
1.1. Настоящее положение «Об обработке и защите персональных данных» (далее «Положение») устанавливает порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения персональных данных.
1.2. Цель настоящего положения - защита персональных данных от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Жилищный кооператив «Академический» (далее - ЖК «Академический») является оператором, осуществляющим обработку персональных данных.
Под оператором, в соответствии с федеральным законом, понимается государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных
1.4. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, ФЗ «О персональных данных» № 152-ФЗ, другие действующие нормативно-правовые акты РФ.
1.5. Настоящее положение и изменения к нему утверждаются Правлением ЖК «Академический» и вводятся в действие Протоколом Правления ЖК «Академический». Все работники ЖК «Академический» должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
2. Понятие и состав персональных данных
2.1. Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
2.2. Субъектами персональных данных, персональные данные которых обрабатываются ЖК «Академический» являются: работники (физические лица, состоящие в договорных отношениях с ЖК "Академический"); сотрудники ЖК "Академический", с которыми заключены трудовые договоры; граждане, являющиеся собственниками/нанимателями жилых/нежилых помещений в жилых домах, управление которыми осуществляет ЖК "Академический"; граждане, обращающиеся с заявлениями, жалобами, обращениями в ЖК "Академический"; граждане, постоянно/временно проживающие/зарегистрированные в домах, управление которыми осуществляет ЖК "Академический".
2.3. Состав персональных данных ,обработку которых осуществляет ЖК «Академический»:
- фамилия, имя, отчество; -адрес места жительства;
- доходы;
- профессия (в том числе сведения о трудовом и общем стаже, сведения о предыдущем месте работы);
- образование;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения о социальных льготах;
- семейное положение (в том числе сведения о составе семьи;
- адрес;
- место рождения;
- дата рождения;
- биометрические персональные данные: фотография;
- паспортные данные;
- наличие судимостей;
- ИНН;
- СНИЛС;
- № контактного телефона;
- начисленные коммунальные платежи (в том числе задолженности);
- сведения из следующих документов: документы о праве собственности на жилое помещение, документы о найме жилого помещения, свидетельство о заключении/расторжении брака, свидетельство о рождении/смерти, трудовая книжка, полис ОМС, трудовой договор, декларация, приказы по личному составу, трудовые книжки.
2.4. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
3. Обязанности оператора при обработке персональных данных субъекта персональных данных, в том числе работника (сотрудника) ЖК «Академический»
3.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 4 ст. 14 ФЗ «О персональных данных».
3.2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3.3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных.
3.4. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев:
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
3.5. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие требования:
3.5.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.5.2. При определении объема и содержания обрабатываемых персональных данных работника должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.5.3. Все персональные данные работника следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.5.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.5.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законом.
3.5.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.5.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
3.5.8. Работники должны быть ознакомлены под роспись с документами ЖК «Академический», устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.5.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4. Обязанности работника (сотрудника) ЖК «Академический»
4.1. Работник обязан передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ.
4.2. Работник обязан своевременно и в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
5. Права работника (сотрудника) ЖК «Академический»
Работник имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный и бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ.
5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
5.4. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством РФ. При отказе работодателя исключить или исправить персональные данные сотрудника, он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
5.7. Определять своих представителей для защиты персональных данных.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных Федеральным законом.
6.2. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.4. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
6.5. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
- способы обработки персональных данных, применяемые оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6.6. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- предоставление персональных данных нарушает конституционные права и свободы других лиц.
7. Сбор, обработка и хранение персональных данных работников (сотрудников) ЖК «Академический»
7.1. Обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
7.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
7.3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
7.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
7.5. При поступлении на работу работник заполняет личный листок по учету кадров. Личный листок по учету кадров представляет собой перечень вопросов о персональных данных работника.
7.5.1. Личный листок по учету кадров заполняется работником самостоятельно. При заполнении личного листка по учету кадров работник должен заполнять все графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок, в строгом соответствии с записями, которые содержаться в его личных документах.
7.5.2. Личный листок по учету кадров работника должен храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
7.5.3. Личное дело оформляется после издания приказа о приеме на работу.
7.5.4. Все документы личного дела подшиваются в обложку. На ней указываются фамилия, имя, отчество работника.
7.5.5. К каждому личному делу прилагаются две цветные фотографии работника размером 3x4 см.
7.5.6. Все документы, поступающие в личное дело, располагаются в хронологическом порядке.
7.5.7. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
8. Передача персональных данных
8.1. При передаче персональных данных оператор должен соблюдать следующие требования:
8.1.1. Не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъект персональных данных, а также в случаях, установленных федеральным законом;
8.1.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
8.1.3. Предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать конфиденциальность. Данное Положение не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральными законами;
8.1.4. Разрешать доступ к персональным данным субъектов персональных данных только специально уполномоченными лицами, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
8.1.5. Передавать персональные данные субъекта персональных данных представителям субъекта в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8.2. Информация, включающая в себя персональные данные субъекта персональных данных, передается на магнитных и бумажных носителях, а также по специально выделенной сети.
9. Доступ к персональным данным
9.1. Внутренний доступ (доступ внутри ЖК «Академический»). Право доступа к персональным данным субъектов персональных данных имеют:
- работник (сотрудник) носитель данных;
- председатель правления;
- сотрудники отдела кадров (паспортист);
- сотрудники бухгалтерии;
- юрист;
- члены Правления ЖК Академический;
- члены ревизионной комиссии.
Доступ к персональным данным осуществляется с разграничением прав доступа работников (сотрудников) к базе персональных данных.
Все вышеуказанные лица имеют доступ только к тем данным, которые необходимы для выполнения их конкретных трудовых функций.
9.2. Внешний доступ.
Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
- Федеральный фонд ОМС.
9.3. Другие организации.
Сведения о субъекте персональных данных могут быть предоставлены другой организации по согласованию с председателем правления ЖК «Академический» только с письменного запроса на бланке организации и только с письменного согласия субъекта персональных данных, предоставляемого в случаях, установленных федеральными законами.
9.4. Родственники и члены семей. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
10. Защита персональных данных работника
10.1. В целях обеспечения сохранности и конфиденциальности персональных данных ЖК «Академический» все операции по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), использованию, распространению (в том числе передаче), обезличиванию, блокированию, уничтожению персональных данных должны выполняться только соответствующими работниками ЖК «Академический» в соответствии с их должностными обязанностями, зафиксированными в должностных инструкциях.
10.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке ЖК «Академический» в том объеме, который позволяет не разглашать излишний объем персональных данных, и с соблюдением установленного порядка передачи таких персональных данных.
10.3. Передача информации, содержащей сведения о персональных данных работников ЖК «Академический» по телефону, факсу, электронной почте без письменного согласия работника запрещается.
10.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
10.5. В ЖК «Академический» предусмотрены следующие средства обеспечения безопасности: железная дверь, сейф-дверь, сигнализация, решетки на окнах, сейф, шкаф, запирающийся на ключ, наличие установленного антивирусного программного обеспечения, коды доступа к определенным программам.
10.6. Персональные компьютеры, в которых содержатся персональные данные, защищены паролями доступа.
11. Ответственность за разглашение информации, связанной с персональными данными работника
11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.