Обработка персональных данных осуществляется целью. Компания сама определяет цели обработки персональных данных клиентов и сотрудников

Компания не может обойтись без получения личных сведений от работников, клиентов и контрагентов. Нужны фамилии, адреса, другая информация. Однако заниматься обработкой персональных данных компания вправе только в конкретных целях. Иное использование данных является нарушением, которое повлечет административные меры.

Цели, в которых запрашивают сведения, должны соответствовать закону и потребностям компании

В ходе ведения бизнеса компания имеет дело с информацией, которая нуждается в охране. К конфиденциальным относятся сведения о технологиях, проектах, разработках, о специфике сделок и т. д. Также закон обязывает защищать информацию о людях, которые работают в компании, являются ее клиентами или представляют контрагентов. Действует «О персональных данных» во исполнение конституционного принципа защиты частной жизни ( , ст. 2 закона № 152). Требования закона распространяются на любые организации, которые получают данные от их субъектов (ст. 1 закона № 152).

Компания, которая приступает к обработке персональных данных, вправе затребовать их только с определенными целями (ч. 2 ст. 5 закона № 152). Кроме того, от целей зависит объем данных. Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152). Например, интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.

Компания сама определяет цели обработки персональных данных клиентов и сотрудников

Для чего именно потребовались сведения, определяет компания (п. 2 ст. 3 закона № 152). Как правило, персональные данные клиентов, контрагентов, сотрудников организация запрашивает в целях:

  1. Заключения договоров. Это могут быть договоры с потребителями услуг или товаров компании, с другими типами клиентов, с партнерами по бизнесу, трудовые соглашения и т. п. Для любого договора, который компания собирается подписать, потребуются личные данные – сотрудника, который выступает в ее интересах, представителя контрагента или самого контрагента, если это частное лицо. В том числе данные нужны, чтобы компания могла выполнить свои обязательства.
  2. Систематизации информации о персонале, ведении кадрового учета и делопроизводства. Данные работников необходимы не только для заключения трудовых договоров, но и для всех остальных операций в рамках трудовых отношений.
  3. Выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д. Компания удерживает с работников НДФЛ, взносы и перечисляет эти суммы государству, в ПФР и другие организации (ст. 22 закона № 152, ст. 86 ТК РФ).
  4. Формирования статистики. Данные для этого необходимо обезличить (п. 9 ч. 1 ст. 6 закона № 152).

Гость, знакомьтесь - !

Компания обязана предупредить субъекта персональных данных о целях обработки

Компания обязана известить работника или клиента о том, с какой целью запрашивает его персональные данные в обработку (п. 4 ч. 4 ст. 9 закона № 152). Это делают в рамках получения согласия на предоставление информации. Список целей должен:

  • быть исчерпывающим и конкретным;
  • соответствовать положениям устава, а также локальных актов организации;
  • соответствовать тому, какие цели компания преследует фактически.

Например, сведения у клиента запрашивает банк. Цель обработки – обслуживание его счета, в том числе:

  • открытие счета,
  • ведение счета,
  • операции по перечислению средств со счета и на счет,
  • консультирование клиента.

Еще один пример информирования – перечисление целей обработки персональных данных сотрудников в политике компании. Организация закрепляет, что информацию используют:

  • при работе с резюме соискателей;
  • для выполнения обязанностей компании в рамках трудового соглашения;
  • для соблюдения трудового, налогового и пенсионного законодательства;
  • для организации обучения сотрудников, повышения их профессионального уровня;
  • при расчете и начислении зарплаты;
  • для контроля качества работы сотрудников;
  • при предоставлении различных гарантий и льгот и т. д.

Согласие на обработку необходимо получить у субъекта данных почти во всех случаях. Если цель сбора – продвижение компании на рынке или политическая агитация, оператор обязан доказать, что человек дал согласие (ч. 1 ст. 15 закона № 152). Иначе считается, что оно не было запрошено.

Помимо соглашения с работником или клиентом, цели получения данных необходимо отразить в специальном документе – политике компании о работе с такими данными. Это должен быть общедоступный документ. Как правило, его публикуют на сайте организации в специальном разделе.

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.

Осуществляется на основании исполнения законов и иных нормативных актов.

Что является обработкой персональных данных? В этот процесс включаются следующие действия:

Правовое регулирование работы с персональными данными охватывает все процессы и стадии работы с ними.

Цель

Для чего нужна обработка персональных данных? Обработка персональных данных работника осуществляется на предприятии, в организации в целях содействия ему.

Основные цели обработки персональных данных:

  • в устройстве на работу;
  • в устройстве в учебное заведение или на обучение, по повышению квалификации;
  • в целях охраны организации труда;
  • для продвижения по службе и контроля, за возможностью карьерного роста;
  • для осуществления контроля, за количеством и качеством выполненных работ.

Законодательство предусматривает аккумуляцию и трансляцию личных данных работника исключительно в целях его развития и целесообразного применения его способностей и опыта. , включают в себя многофункциональные цели.

В цели обработки персональных данных работников входит использование и обработки персональных данных путём их синтеза и взаимосвязи, определяющих актуальность возможностей работника в условиях организации производственного процесса.

Поставленные и озвученные цели для обработки персональных данных не могут изменяться без уведомления работника.

Кем осуществляется?

Под персональными данными понимается такая информация, которая содержит основные сведения о лице, представляющем интерес для определённого круга представителей государственных и иных служб.

В частности, на производстве (в организации), персональные данные представляют интерес для работодателя, который осуществляет управление организацией труда на производстве на основании сведений о своих сотрудниках.

Работодатель имеет право затребовать любые персональные данные, имеющиеся в учётных записях о работнике. Кроме него, доступ к персональным данным имеет ограниченный круг лиц, который осуществляет операционную работу. Как правило, это секретариат и сотрудники кадровой службы.

Оператор, осуществляющий информационную деятельность с персональными данными, прежде, чем приступить к обозначенной работе, проходит инструктаж. Он знакомится с правилами работы и принципами, запрещающими разглашение сведений, содержащихся в персональных данных.

Осуществление перечисленных видов работ может преследовать исключительно те цели, которые явились причиной сбора информации. Нецелевое использование персональных данных или их разглашение считается грубым нарушением, за которое вменяется ответственность.

Нарушения

Как было рассмотрено ранее, нарушениями в обработке персональных данных считаются:


Работа оператора с персональными данными подлежит строгому контролю со стороны уполномоченных служб, а за недочёты, неумышленные или предумышленные нарушения, оператору вменяется ответственность.

За все неправомочные действия при обработке персональных данных, может последовать наказание: дисциплинарное, административное, в некоторых случаях – уголовное.

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно - дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных) . Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

N Документ Сведения
1 Анкета, автобиография, личный
листок по учету кадров
(заполняется при приеме на
работу) 		Анкетные и биографические данные
работника
2 Копия документа,
удостоверяющего личность
работника 		Ф.И.О., дата рождения, адрес
регистрации, семейное положение,
состав семьи
3 Личная карточка (форма N Т-2,
утверждена Постановлением
Госкомстата России
от 05.01.2004 N 1) 		Ф.И.О. работника, место его рождения,
состав семьи, образование, а также
данные документа, удостоверяющего
личность
4 Трудовая книжка Сведения о трудовом стаже, предыдущих
местах работы
5 Копии свидетельств о заключении
брака, рождении детей 		Состав семьи, изменения в семейном
положении
6 Документы воинского учета Информация об отношении работника к
воинской обязанности, необходимая
работодателю для осуществления
воинского учета работников
7 Справка о доходах с предыдущего
места работы 		Ф.И.О., данные о сумме дохода и
удержанного НДФЛ
8 Документы об образовании Подтверждают квалификацию работника,
обосновывают занятие определенной
должности
9 Документы обязательного
пенсионного страхования 		Ф.И.О., личные данные
10 Трудовой договор Сведения о должности работника,
заработной плате, месте работы,
рабочем месте, а также иные
персональные данные работника
11 Приказы по личному составу Информация о приеме, переводе,
увольнении и иных событиях,
относящихся к трудовой деятельности
работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных - любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее - Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

N Обязанность Содержание раздела
1 Общие положения Цель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на
основании каких документов составляется
Положение.
В организациях, где работают государственные
гражданские служащие, дается ссылка на:
- Федеральный закон от 27.07.2004 N 79-ФЗ
"О государственной гражданской службе Российской
Федерации";
- Указ Президента РФ от 30.05.2005 N 609 "Об
утверждении Положения о персональных данных
государственного гражданского служащего
Российской Федерации и ведении его личного
дела";
- нормативные акты субъекта РФ
2 Основные понятия.
Состав персональных
данных работников 		Основные понятия. Даются определения понятий
"персональные данные", "обработка персональных
данных", "использование персональных данных",
указывается срок хранения документов и т.д.
Отдельно должно быть указано, что относится к
персональным данным в конкретной компании с
учетом ее особенностей (данные, используемые в
работе, например сведения о работе на режимных
объектах, об оформлении допуска к
государственной тайне, о соответствии здоровья
для профессий, связанных с тяжелыми и вредными
условиями, и т.д.)
Перечень документов организации, которые
содержат персональные данные
3 Получение
персональных данных
работников 		Процедура получения персональных данных.
Указывается, что данные получают и обрабатывают
на основании письменного согласия работника.
Указываются случаи, когда согласие не нужно
4 Использование
персональных данных 		Цели использования личной информации сотрудников
5 Обработка
персональных данных 		Условия, соблюдаемые при обработке персональных
данных работника
6 Передача
персональных данных
(доступ к
персональным данным) 		Порядок передачи персональных данных внутри
организации (внутренний доступ), сторонним лицам
и государственным органам (внешний доступ)
7 Ответственность за
нарушение норм,
регулирующих
обработку и защиту
персональных данных 		Указывают тех, кто несет ответственность за
нарушение правил хранения и использования
персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый - согласиться. Второй - в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • - листе ознакомления с Положением (образец на с. 91);
  • - журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N
п/п 		Наименование локального нормативного акта Дата Подпись
1 Правила внутреннего трудового распорядка
ООО "Черный лес" 		03.10.2011 Евстахов
2 Положение об оплате труда, премировании и
социальном обеспечении сотрудников ООО "Черный
лес"
03.10.2011
Евстахов
3 Инструкция по информационной безопасности,
утвержденная Приказом от 15.06.2008 N 1 		03.10.2011 Евстахов
4 Положение о персональных данных 03.10.2011 Евстахов
5 Положение о материальной ответственности
работников за ущерб, причиненный ООО "Черный лес" 		03.10.2011 Евстахов

Фрагмент журнала ознакомления с Положением о персональных данных

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Административная ответственность

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

  • установления диагноза;
  • профилактики заболевания;
  • оказания медицинских и медико-социальных услуг.

Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.

Исключение составляют те ситуации, когда получить согласие невозможно, но необходима для защиты жизни или здоровья пациента.

Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152 .

Данные клиента могут использованы для:

  1. Оказание консультационных, информационных и посреднических услуг.
  2. Заключение и исполнение договора с клиентом.
  3. Ведение кадровой работы и бухгалтерских услуг.
  4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на своих сотрудников, оно закреплено в ст. 22 ФЗ № 152 . Цели обработки персональных данных в организации:

  • Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
  • Кадровый учёт, соблюдение законов и , оформление обязательств по трудовым и гражданско-правовым договорам.
  • Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
  • Обеспечение личной безопасности работника и сохранность имущества.
  • Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
  • Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
  • Контроль выполняемой сотрудником работы.

(Ст. 86 «Трудового Кодекса Российской Федерации» от 30.12.2001 г. № 197-ФЗ). Личные сведения о сотруднике, относящиеся к категории «специальные», не подлежат обработке работодателем.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

  1. Открытие и ведение банковских счетов.
  2. Перевод денежных средств по банковским счетам.
  3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
  4. Купля-продажа иностранной валюты.
  5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация

Медицинская организация «Здоровье». Цель обработки:

  • Организация оказания медицинской помощи.
  • Выписка льготных рецептов.
  • Оплата счетов в системе ОМС и ДМС.
  • Использования для статистики и при проведении научно-исследовательской работы.
  • Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С , клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему - позвоните прямо сейчас:

Настоящее поручение на обработку персональных данных (далее – Поручение) разработано в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных». Настоящее поручение определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «КардсПроСервис» с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1) Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) Оператор (Заказчик ) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) Уполномоченные лица Заказчика - лица, действующие в соответствие с соглашением о
конфиденциальности, заключенным с Заказчиком.

10) О безличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

11) Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

12) Трансграничная передача персональных данных - передача персональных данных на
территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

13) Исполнитель - ООО «КардсПроСервис» (123610, г. Москва, Краснопресненская набережная, дом 12, офисное здание 1, помещение Iд, комната 42; ОГРН 1157746550070).

2. ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Заказчик, являясь Оператором персональных данных, в соответствии с п. 3 ст. 6 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», поручает, а Исполнитель, обязуются осуществлять обработку персональных данных субъектов, в интересах Заказчика и во исполнение
Пользовательского соглашения.

3. ПОРЯДОК ВЗАИМОДЕЙСТВИЯ СТОРОН

3.1. Основанием для Исполнителя на#nbsp;обработку персональных данных субъектов, осуществляемую в интересах Заказчика, является Пользовательское соглашение.

3.2. Порядок организации сбора согласий субъектов персональных данных на обработку и передачу их персональных данных, а также цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными:

3.2.1. Цель обработки персональных данных.

Обработка персональных данных поручается в целях реализации программ лояльности.

3.2.2. Перечень персональных данных, обработка которых поручается Исполнителю

  • Фамилия, имя, отчество;
  • Место, год и дата рождения;
  • Контактный телефон;
  • Адрес регистрации;
  • Адрес места фактического проживания (пребывания);
  • Паспортные данные (серия, номер паспорта, кем и когда выдан);
  • Телефонный номер (домашний, рабочий, мобильный).
3.2.3. Перечень действий (операций) с#nbsp;персональными данными, которые поручается совершать Исполнителю:
  • Сбор персональных данных.
  • Систематизация персональных данных.
  • Накопление персональных данных.
  • Использование персональных данных для реализации программ лояльности и коммуникации с субъектами персональных данных.
  • Хранение персональных данных.
  • Уточнение (обновление, изменение) персональных данных:

  • Извлечение (выгрузка) - по дополнительному письменному поручению Заказчика.
  • Обезличивание персональных данных:
    -
    - по законному требованию субъекта персональных данных, с обязательным письменным уведомлением Заказчика;
    - по требованию органов государственного регулирования по защите прав субъектов персональных данных, с обязательным письменным уведомлением Заказчика.
  • Блокирование персональных данных:
    - по дополнительному письменному поручению Заказчика;
    - по законному требованию субъекта персональных данных, с обязательным письменным уведомлением Заказчика;
    - по требованию органов государственного регулирования по защите прав субъектов персональных данных, с обязательным письменным уведомлением Заказчика.
  • Удаление персональных данных:
    - по дополнительному письменному поручению Заказчика;
    - по законному требованию субъекта персональных данных, с обязательным письменным уведомлением Заказчика;
    - по требованию органов государственного регулирования по защите прав субъектов персональных данных, с обязательным письменным уведомлением Заказчика.
  • Уничтожение персональных данных - по дополнительному письменному поручению Заказчика.
3.2.4. Порядок обработки персональных данных

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а также актуальность по отношению целям обработки персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иное не определено условиями договора. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное определено условиями договора.

3.2.5. Организация защиты персональных данных

Объекты защиты

  • информация, содержащая персональные данные субъектов;
  • машинные носители, содержащие персональные данные субъектов;
  • информационные системы персональных данных;
  • персональные данные субъектов, содержащиеся в электронных базах данных информационных систем персональных данных.
3.2.6. Мероприятия по организации и обеспечению безопасности персональных данных

Для обеспечения безопасности персональных данных Исполнителем должны выполняться следующие мероприятия:

  • Необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  • Обеспечение доступа работников Исполнителя к персональным данным, обрабатываемым попоручению Заказчика, после подписания ими Обязательства о неразглашении персональных данных, изучения требований Заказчика по порядку обработки и защиты персональных данных, локальных нормативных актов, регламентирующих порядок организации и обеспечения защиты персональных данных и прохождения инструктажа по порядку обращения с персональными данным.
  • Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
  • Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
  • Учет машинных носителей персональных данных.
  • Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
  • Восстановление персональных данных, модифицированных или уничтоженных вследстви несанкционированного доступа к ним.
  • Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
  • Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.2.7. Уничтожение персональных данных

Уничтожение персональных данных субъектов может производится Исполнителем, только:

  • по дополнительному письменному поручению Заказчика;
  • по законному требованию субъекта персональных данных, с обязательным письменным уведомлением Заказчика;
  • по требованию органов государственного регулирования по защите прав субъектов персональных данных, с обязательным письменным уведомлением Заказчика.
Уничтожение обрабатываемых персональных данных субъектов должно быть гарантированным и обеспечивать невозможность восстановления содержания персональных данных в информационной системе персональных данных или носителей их содержащих.

3.2.8. Порядок прекращения обработки персональных данных

Прекращение обработки персональных данных осуществляется:

  • в случае прекращения договорных отношений, являющихся основанием для обработки персональных данных;
  • по дополнительному письменному поручению Заказчика;
  • по письменному предписанию органов государственного регулирования.
Во всех случаях прекращения обработки персональных данных, дальнейшее предназначение баз данных определяется Заказчиком с составлением письменного уведомления о дальнейшем предназначении баз персональных данных.

4. ПРАВА И ОБЯЗАННОСТИ СТОРОН

4.1. Заказчик обязуется:

4.1.1. В случае отзыва субъектом персональных данных согласия на обработку персональных данных и отсутствия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», допускающих обработку
персональных данных без наличия согласия субъекта, направлять Исполнителю письменное поручение на проведение работ по удалению, либо обезличиванию персональных данных субъекта.

4.1.2. При поступлении запроса от субъекта персональных данных на предоставление сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», либо требований субъекта об утонении его персональных данных, их блокировании или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, направлять Исполнителю письменное поручение на
предоставление информации, либо совершение конкретных действий с персональными данными субъекта.

4.2. Исполнитель обязуется:

4.2.1. Осуществлять обработку персональных данных на законной основе, в строгом соответствии с условиями настоящего Поручения.

4.2.2. По первому письменному требованию Заказчика произвести передачу (возврат) обрабатываемых по его поручению баз персональных данных, указанным в требовании способом.

4.2.4. По запросу уполномоченного органа по защите прав субъектов персональных данных, предоставить доказательство получения собранных в рамках настоящего Поручения согласий субъектов персональных данных на обработку их персональных данных или доказательство наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», допускающих обработку персональных данных без наличия согласия субъекта.

СХОЖИЕ СТАТЬИ