Положение по обработке и защите персональных данных и конфиденциальной информации в МБУ «ГТРК «Вектор»
1. Общие положения1.1. Настоящее Положение устанавливает порядок получения, учёта, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников и клиентов МБУ «ГТРК «Вектор» (далее – Учреждение, Оператор), ИНН 8911015486 / КПП 891301001, 629830, Ямало-Ненецкий автономный округ, г.Губкинский, мкр.14, д.43.
1.2. Под работниками подразумеваются лица, заключившие трудовой договор с Учреждением.
1.3. Под клиентами (контрагентами) подразумеваются лица (физические и юридические), заключившие договор (соглашение) с Учреждением на ведение бюджетного (бухгалтерского) учёта, планово-экономических функций и составление отчётности.
1.4. Цель настоящего Положения – обработка и защита персональных данных работников и клиентов (контрагентов) Учреждения от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.5. Настоящее Положение распространяется на персональные данные, полученные как до, так и после его утверждения.
1.6. Основанием для разработки и руководством настоящего Положения являются:
- Конституция Российской Федерации;
- Конвенция о защите физических лиц при автоматизированной обработке персональных данных;
- Трудовой Кодекс РФ от 30.12.2001 № 197-ФЗ;
- Гражданский кодекс от 30.11.1994 №51-ФЗ;
- Налоговый кодекс от 31.07.1998 №146-ФЗ;
- Бюджетный кодекс от 31.07.1998 №145-ФЗ;
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";
- Федеральный закон от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;
- Федеральный закон от 15.12.2001 № 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- Федеральный закон от 26.02.1997 №31-Ф3 «О мобилизационной подготовке и мобилизации в Российской Федерации»;
- Положение о воинском учете, утверждённого Постановлением Правительства РФ от 27 ноября 2006 г. №719;
- Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»;
- Федеральный закон от 31.07.2020 № 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации";
- Федеральный закон от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";
- Федеральный закон от 06.12.2011 № 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 03.07.2016 № 243-ФЗ "О внесении изменений в части первую и вторую Налогового кодекса Российской Федерации в связи с передачей налоговым органам полномочий по администрированию страховых взносов на обязательное пенсионное, социальное и медицинское страхование"
- Федеральный закон от 6 апреля 2011 г. №63-Ф3 «Об электронной подписи»;
- Федеральный закон от 24.07.2009 № 213-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных законодательных актов (положений законодательных актов) Российской Федерации в связи с принятием Федерального закона "О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования";
- Федеральный закон от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
- Федеральный закон от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
- Указ Президента Российской Федерации от 6 марта 1997 № 188 "Об утверждении перечня сведений конфиденциального характера";
- Постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Постановление Правительства РФ от 21.03.2012 № 211 " Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Постановление Правительства РФ от 06.09.2014 № 911 "О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Постановление Правительства РФ от 29.06.2021 № 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных";
- Приказ Роскомнадзора от 30.05.2017 № 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения";
- Приказ Роскомнадзора от 19.08.2021 № 262 "Об утверждении Политики Управления Роскомнадзора по Хабаровскому краю, Сахалинской области и Еврейской автономной области в отношении обработки персональных данных";
- Приказ Роскомнадзора от 19.08.2021 № 271 "Об утверждении Положения об обработке и защите персональных данных в Управлении Роскомнадзора по Хабаровскому краю, Сахалинской области и Еврейской автономной области";
- Приказ ФНС России от 28.09.2021 N ЕД-7-11/845@ "О внесении изменений в приложения к приказу Федеральной налоговой службы от 15.10.2020 N ЕД-7-11/753@ "Об утверждении формы расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом (форма 6-НДФЛ), порядка ее заполнения и представления, формата представления расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом, в электронной форме, а также формы справки о полученных физическим лицом доходах и удержанных суммах налога на доходы физических лиц";
- Постановление Правительства РФ от 16 апреля 2003 г. №225 «О трудовых книжках»;
- Постановление Правительства РФ от 31 октября 2014 г. №1132 «О порядке ведения реестра договоров, заключенных заказчиками по результатам закупки»;
- Постановление Правительства РФ от 22 ноября 2012 г. №1211 «О ведении реестра недобросовестных поставщиков, предусмотренного Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц»;
- Постановление Госкомстата РФ от 5 января 2004 г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
- Постановление Правительства РФ от 8 сентября 2010 г. №697 «О единой системе межведомственного электронного взаимодействия»;
- Приказ Федерального архивного агентства от 20 декабря 2019 г. №236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
- Приказ Минфина России от 29 декабря 2014 г. №173н «О порядке формирования информации и документов, а также обмена информацией и документами между заказчиком и Федеральным казначейством в целях ведения реестра договоров, заключенных заказчиками по результатам закупки»;
- Постановление Администрации города Губкинского от 02.05.2019 № 740 «Об утверждении Плана мероприятий («дорожной карты») по централизации бюджетного (бухгалтерского) учёта и составления отчётности, планово-экономических функций в Администрации города Губкинского»;
- Договоры, заключаемые между оператором и субъектом персональных данных;
- Устав МБУ «ГТРК «Вектор».
1.7. Настоящее Положение и изменения к нему утверждаются руководителем Учреждения и вводятся приказом по Учреждению. Все работники Учреждения должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
2. Понятия и состав персональных данных и конфиденциальной информации
2.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу. В соответствии с целями обработки персональных данных, указанными в п. 3 настоящей Политики, Учреждением осуществляется обработка следующих персональных данных:
2.2. Состав персональных данных:
2.2.1 Работники:
- ФИО;
- сведения о смене ФИО;
- дата рождения;
- возраст;
- место рождения;
- пол;
- гражданство;
- адрес регистрации;
- адрес проживания;
- дата регистрации по месту жительства;
- контактные телефоны;
- данные документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- дата выдачи документа, удостоверяющего личность;
- ИНН;
- СНИЛС;
- сведения об образовании;
- реквизиты документа об образовании;
- направление подготовки или специальность по документу об образовании;
- сведения о послевузовском профессиональном образовании;
- должность;
- реквизиты трудового договора;
- характер, вид работы;
- место работы;
- структурное подразделение;
- стаж работы;
- сведения о трудовой деятельности;
- семейное положение;
- сведения о составе семьи;
- сведения о детях;
- сведения о воинском учете;
- данные трудовой книжки;
- реквизиты трудовой книжки;
- сведения о приеме на работу и переводах на другие должности;
- сведения о профессиональной переподготовке;
- размер оклада;
- данные об отпусках;
- данные о командировках;
- банковские реквизиты;
- сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством;
- сведения о вычетах;
- сведения о доходах;
- сведения о налогах;
- сведения о страховых взносах;
- реквизиты листка нетрудоспособности;
- период нетрудоспособности;
- сведения о начислениях;
- реквизиты договора;
- сведения о выплатах;
- иные сведения, строго необходимые для достижения цели обработки персональных данных.
2.2.2 Уволенные работники:
- ФИО;
- дата рождения;
- место рождения;
- пол;
- гражданство;
- адрес регистрации;
- адрес проживания;
- данные документа, удостоверяющего личность;
- дата выдачи документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- контактные телефоны;
- ИНН;
- СНИЛС;
- семейное положение;
- сведения о детях;
- сведения о воинском учете;
- сведения об образовании;
- сведения о послевузовском профессиональном образовании;
- сведения о наличии инвалидности;
- место работы;
- должность;
- структурное подразделение;
- стаж работы;
- сведения о приеме на работу и переводах на другие должности;
- сведения о начислениях;
- сведения об удержаниях;
- данные об отпусках;
- данные о командировках;
- данные больничных листов;
- сведения о социальных льготах;
- сведения о доходах, страховых взносах;
- сведения о налогах;
- размер оклада;
- банковские реквизиты;
- сведения об увольнении;
- иные сведения, строго необходимые для достижения цели обработки персональных данных.
2.2.3 Близкие родственники работников:
- ФИО;
- пол;
- степень родства;
- дата рождения;
- место рождения;
- гражданство;
- данные из свидетельства о рождении.
2.2.4 Близкие родственники уволенных работников:
- ФИО;
- пол;
- степень родства;
- дата рождения;
- место рождения;
- гражданство;
- данные из свидетельства о рождении
2.2.5 Контрагенты:
- ФИО;
- дата рождения;
- пол;
- место рождения;
- ИНН;
- СНИЛС;
- адрес регистрации;
- банковские реквизиты;
- номер счета;
- контактные телефоны;
- реквизиты договора;
- сведения об образовании;
- место работы
- должность;
- структурное подразделение;
- адрес электронной почты;
- данные документа, удостоверяющего личность;
- дата выдачи документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность.
2.2.6 Представители контрагентов:
- ФИО;
- Дата рождения;
- Место рождения;
- СНИЛС;
- ИНН;
- Пол;
- Гражданство;
- Должность;
- Структурное подразделение;
- Место работы;
- Контактный телефон;
- Электронная почта;
- Адрес регистрации;
- данные документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- дата выдачи документа, удостоверяющего личность;
2.2.7 Работники контрагентов:
- ФИО;
- сведения о смене ФИО;
- дата рождения;
- возраст;
- место рождения;
- пол;
- гражданство;
- адрес регистрации;
- адрес проживания;
- дата регистрации по месту жительства;
- контактные телефоны;
- данные документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- дата выдачи документа, удостоверяющего личность;
- ИНН;
- СНИЛС;
- сведения об образовании;
- реквизиты документа об образовании;
- направление подготовки или специальность по документу об образовании;
- сведения о послевузовском профессиональном образовании;
- должность;
- реквизиты трудового договора;
- характер, вид работы;
- место работы;
- структурное подразделение;
- стаж работы;
- сведения о трудовой деятельности;
- семейное положение;
- сведения о составе семьи;
- сведения о детях;
- сведения о воинском учете;
- данные трудовой книжки;
- реквизиты трудовой книжки;
- сведения о приеме на работу и переводах на другие должности;
- сведения о профессиональной переподготовке;
- размер оклада;
- данные об отпусках;
- данные о командировках;
- банковские реквизиты;
- сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством;
- сведения о вычетах;
- сведения о доходах;
- сведения о налогах;
- сведения о страховых взносах;
- реквизиты листка нетрудоспособности;
- период нетрудоспособности;
- сведения о начислениях;
- реквизиты договора;
- сведения о выплатах;
- иные сведения, строго необходимые для достижения цели обработки персональных данных.
2.2.8 Уволенные работники контрагентов:
- ФИО;
- дата рождения;
- место рождения;
- пол;
- гражданство;
- адрес регистрации;
- адрес проживания;
- данные документа, удостоверяющего личность;
- дата выдачи документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- контактные телефоны;
- ИНН;
- СНИЛС;
- семейное положение;
- сведения о детях;
- сведения о воинском учете;
- сведения об образовании;
- сведения о послевузовском профессиональном образовании;
- сведения о наличии инвалидности;
- место работы;
- должность;
- структурное подразделение;
- стаж работы;
- сведения о приеме на работу и переводах на другие должности;
- сведения о начислениях;
- сведения об удержаниях;
- данные об отпусках;
- данные о командировках;
- данные больничных листов;
- сведения о социальных льготах;
- сведения о доходах, страховых взносах;
- сведения о налогах;
- размер оклада;
- банковские реквизиты;
- сведения об увольнении;
- иные сведения, строго необходимые для достижения цели обработки персональных данных
2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом. К конфиденциальной информации относится та информация, доступ к которой ограничен федеральными законами. Цели у ограничений разные. Конфиденциальность означает, что лицо, получившее доступ к определенной информации, не имеет права передавать такую информацию другим лицам без согласия ее обладателя.
2.4. Основные понятия:
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; предоставление персональных Данных действия, направленные на раскрытие персональных данных определенному .лиц) или определенному кругу лиц; блокирование персональных Данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
3. Цели и условия обработки персональных данных
3.1 Обработка персональных данных осуществляется Учреждением в следующих целях:
- выполнение требований трудового законодательства Российской Федерации; ведение бухгалтерского и кадрового учета;
- оформление договорных отношений в соответствии с законодательством Российской Федерации;
- получение и предоставление услуг в рамках деятельности Учреждения; оформление договорных отношений в соответствии с законодательством Российской Федерации;
3.2 Условия обработки персональных данных:
Условия обработки персональных данных, отличные от получения согласия субъекта персональных данных на обработку его персональных данных, являются альтернативными.
3.2.1 Условия обработки специальных категорий персональных данных
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Учреждением не производится.
3.2.2 Условия обработки биометрических персональных данных
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Учреждением для установления личности субъекта персональных данных, Учреждением не обрабатываются.
3.2.3 Условия обработки иных категорий персональных данных
Обработка иных категорий персональных данных осуществляется Учреждением с соблюдением следующих условий:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
4. Обязанности работодателя
4.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
4.1.1. Обработка персональных данных работника Учреждением осуществляется в следующих целях:
- обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
- осуществление деятельности Учреждения в соответствии с Уставом;
- ведение кадрового делопроизводства;
- содействие работникам в трудоустройстве, получении образования и продвижении по работе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
- привлечение и отбор кандидатов на работу в Учреждении;
- Учреждение постановки на индивидуальный (персонифицированный) учёт работников в системе обязательного пенсионного страхования;
- заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- осуществление гражданско-правовых отношений;
- ведение бухгалтерского учёта;
- осуществление пропускного режима.
4.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами (п.1.4 настоящего Положения)
4.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
4.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
4.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
4.1.8. Работники и их представители должны быть ознакомлены под подпись с документами Учреждения, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
4.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4.1.10. Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
- персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника.
5. Обязанности работника
Работник обязан:
5.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.
5.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
6. Права работника
Работник имеет право:
6.1. На полную информацию о своих персональных данных и обработке этих данных.
6.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством Российской Федерации.
6.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
6.4. Требовать уточнения, уничтожения, исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.
6.5. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
6.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
6.7. Определять своих представителей для защиты своих персональных данных.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, а именно:
- подтверждение факта обработки персональных данных;
- правовые основания, применяемые способы и цели обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона «О Персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О Персональных данных»;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О Персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
7. Сбор, хранение и обработка персональных данных
7.1. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
7.2. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
7.3. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
7.4. При поступлении на работу работник заполняет анкету и автобиографию.
7.4.1. Анкета представляет собой перечень вопросов о персональных данных работника.
7.4.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
7.4.3. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учёта, относящиеся к персональным данным работника.
7.4.4. Личное дело работника оформляется после издания приказа о приеме на работу.
7.4.5. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
7.4.6. Основанием для обработки ПДн субъекта, не являющегося работником Оператора или лицом, заключившим с Оператором договор, является согласие в письменной форме субъекта персональных данных на обработку его персональных данных;
7.4.7. Обработка персональных данных осуществляется с согласия субъекта персональных данных (работники, клиенты, контрагенты) на обработку его персональных данных;
7.4.8. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональных данных не являются избыточными по отношению к заявленным целям обработки;
7.4.9. Персональные данные клиентов (обратившихся граждан) и контрагентов обрабатываются Оператором с использованием средств автоматизации и без использования таких средств, с фиксацией персональных данных на материальном носителе (бумажные документы).
7.4.10. Персональные данные работников обрабатываются Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, и без использования таких средств, с фиксацией ПДн на материальном носителе (бумажные документы)
7.4.11. В случае отказа субъекта персональных данных предоставить свои персональные данные Оператор в обязательном порядке разъясняет субъекту юридические последствия такого отказа.
7.4.12. Поручение обработки персональных данных третьему лицу осуществляется только на основании договора, заключенного между Оператором и третьем лицом, либо ином основании, предусмотренном действующим законодательством, при наличии согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим Законодательством Российской Федерации.
7.4.13. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
7.4.14. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
7.4.15. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Учреждения или лица, осуществляющие такую обработку по договору с Учреждением), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Учреждением без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Учреждения.
7.4.16. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее- типовая форма), соблюдаются следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Учреждения, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Учреждением способов обработки персональных данных;
б) типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
7.4.17. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.4.18. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
7.4.19. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
8. Передача персональных данных
8.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
8.2. Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение). Учреждение поручает обработку следующих персональных данных:
- ПАО «Банк ВТБ» (адрес: 190000, Россия, г. Санкт-Петербург, ул. Большая Морская, д. 29.): Расчётный счёт; сумма заработной платы; среднемесячный доход; дата приёма на работу;
- ПАО Сбербанк (адрес: 117997, Россия, г. Москва, ул. Вавилова, д. 19): Расчётный счёт; дата приёма на работу; сумма заработной платы.
- МКУ «ГЦИТ «Цитадель» (адрес: ЯНАО, г.Губкинский, мкр.5, д.38): документы связанные с начислением заработной платы, расчётный счёт; сумма заработной платы; среднемесячный доход; дата приёма на работу;
- Администрации города Губкинского(адрес: ЯНАО, г.Губкинский, мкр.5, д.38): ФИО, дата рождения, образование, стаж работы, расчетный счет.
8.3 Лицо, осуществляющее обработку персональных данных по поручению Учреждения, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Учреждения определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
8.4 При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, несет ответственность перед Учреждением.
8.5 Трансграничная передача персональных данных Учреждением не осуществляется.
9. Доступ к персональным данным сотрудника
9.1. Внутренний доступ (доступ внутри Учреждения).
Право доступа к персональным данным работника имеют:
- руководитель (директор) Учреждения;
- заместители руководителя (директора) Учреждения;
- специалист по кадрам и делопроизводству;
- юрисконсульт;
- сотрудники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;
- сам работник, носитель данных.
Персональные данные работников передаются вышеуказанным сотрудникам по мотивированному запросу в том объеме, который необходим им для выполнения конкретных трудовых функций.
9.2. Внешний доступ.
Учреждение вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации. Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
9.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
9.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
9.5. При обработке персональных данных, оператор осуществляет следующие действия с персональными данными:
- блокирование;
- извлечение;
- запись
- накопление;
- использование;
- обезличивание;
- передачу (распространение, предоставление, доступ);
- сбор и систематизация;
- удаление и уничтожение;
- актуализация (изменение, обновление);
- хранение
10. Защита персональных данных работника
10.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
10.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках Учреждения.
10.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
10.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
10.5. Персональные компьютеры (АРМ), в которых содержатся персональные данные, должны быть защищены паролями доступа и сертифицированными средствами защиты, в том числе СКЗИ.
10.6. Ответственный за организацию обработки персональных данных в МБУ «ГТРК «Вектор» назначается приказом директора.
10.7. Учреждение принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
10.8. Учреждение самостоятельно определило состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:
- назначение Учреждением ответственного за организацию обработки персональных данных;
- издание Учреждением документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятых в соответствии с ним нормативными правовым актам, требованиям к защите персональных данных, политике Учреждения в отношении обработки персональных данных, локальными актам оператора;
— определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и прилагаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных»;
— ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
11. Ответственность за разглашение информации,
связанной с персональными данными работника
11.1. Учреждение назначает лицо, ответственное за организацию обработки персональных данных;
11.2. Учреждение предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения;
11.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
11.4. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
12. Прекращение обработки персональных данных
12.1 Учреждение обязано прекратить обработку персональных данных по заявлению, поданному работником и\или физическим лицом (клиентом).
12.2 Отзыв согласия на обработку персональных данных подаётся в произвольной форме в форме заявления в Учреждение на имя руководителя.
12.3 Учреждение в обязательном порядке уведомляет работника, физическое лицо или о прекращении обработки персональных данных и\или их уничтожении.
13. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения
13.1. Настоящие требования устанавливают содержание согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, представляемого субъектом персональных данных оператору, осуществляющему обработку персональных данных
(далее – Согласие).
13.2. Согласие оформляется на русском языке.
13.3. Согласие оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, предоставляется с использованием информационной системы оператора, осуществляющего обработку персональных данных или информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций или в письменной форме.
13.4. Согласие должно включать в себя следующую информацию:
1) фамилия, имя, отчество (при наличии) субъекта персональных данных на русском языке (в русской транскрипции для иностранного гражданина и лица без гражданства);
2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных).
Номер телефона должен представлять собой абонентский номер подвижной радиотелефонной или фиксированной связи. Номер телефона указывается в формате: код страны, код города или код мобильного оператора связи (до 3 знаков), номер телефона.
Адрес электронной почты должен состоять из двух частей, разделенных символом «@». В левой части указывается имя электронного почтового ящика, в правой части указывается доменное имя сервера, на котором располагается электронный почтовый ящик.
Почтовый адрес указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС).
3) наименование или фамилия, имя, отчество (при наличии)
и адрес оператора, получающего согласие субъекта персональных данных.
Указывается полное и сокращенное (при наличии) наименование оператора, осуществляющего обработку персональных данных, индивидуальный номер налогоплательщика (ИНН), а также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС) по направлениям деятельности.
Адрес оператора, осуществляющего обработку персональных данных, указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС), с обязательным указанием субъекта Российской Федерации, населенного пункта (муниципального образования) в пределах которого находится адрес оператора, осуществляющего обработку персональных данных.
4) цель (цели) обработки персональных данных.
Формулировки цели (целей) обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.
5) категории и перечень персональных данных, на обработку которых дается Согласие субъекта персональных данных.
Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:
- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
6) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов.
Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
7) срок, в течение которого действует Согласие.
В указанном поле Согласия должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия).
Не допускается указание положений об автоматической пролонгации срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
8) сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.
Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных.
14. Ключевые результаты
При достижении целей ожидаются следующие результаты:
- обеспечение защиты прав и свобод субъектов персональных данных при обработке его персональных данных Учреждением;
- повышение общего уровня информационной безопасности Учреждения;
- минимизация юридических рисков Учреждения.
15. Связные политики
Связные политики отсутствуют.
16. Осуществление трансграничной передачи персональных данных
Не осуществляется.
17. Обработка биометрических данных
Биометрические данные не обрабатываются.
ПОРЯДОК
уничтожения (изменения) и обезличивания персонифицированных записей из (в) информационных системах персональных данных
МБУ «ГТРК «Вектор»
1. Общие положения
1.1. Используемые сокращения:
ИС — информационная система.
ГИС — государственная информационная система.
ПДн — персональные данные.
1.2. Настоящий Порядок устанавливает основные требования к удалению (изменению) персонифицированных записей из (в) ИС/ГИС МБУ «ГТРК «Вектор» (далее по тексту — Оператор), а также обезличиванию персональных данных субъектов персональных данных (далее — ПДн).
1.3. Ответственность за соблюдение требований настоящей инструкции работниками Оператора возлагается персонально на работников, контроль возлагается на ответственного за организацию обработки ПДн и администратора безопасности.
1.4. Положения данного Порядка обязательны для выполнение всеми работниками Оператора, обрабатывающими ПДн в ИС/ГИС Оператора, а также имеющими допуск к обработке ПДн.
1.5. Полное (частичное) удаление персонифицированных записей о субъектах ПДн производится по достижении цели обработки таких данных, указанных в согласии на обработку или по письменному заявлению субъекта ПДн о прекращении обработки его ПДн (заявления о сокращении перечня ПДн, предъявляемых для обработки) в тех случаях, когда обработка ПДн не может продолжаться без согласия субъекта ПДн.
1.6. Изменение ПДн субъекта производиться только по его письменному заявлению об уточнении обрабатываемых ПДн в течение З дней с момента подачи заявления.
2. Порядок удаления (изменения) персонифицированных записей из (в) информационных системах персональных данных
2.1.Уничтожение ПДн из ИС/ГИС производится средствами ИС/ГИС, предусматривающими выполнение данной операции.
2.2.По факту полного/частичного удаления персонифицированных записей комиссией из 3-х человек, в состав которой должен входить работник, работающий с ИС/ГИС составляется Акт. По факту уничтожения ПДн из нескольких ИС/ГИС допускается оформлять один Акт. Акт хранится у администратора безопасности в течение 3 лет.
2.3.В случае если удаление ПДн производится по заявлению субъекта о прекращении обработки его ПДн (о сокращении перечня ПДн. предъявляемых для обработки), по факту исполнения заявления работником Операторе, выполнившим удаление ПДн на заявлении делается дополнительная отметка об исполнении. Примечание: Данных пункт не отменяет требования п. 3.2 настоящего порядка.
2.4.По факту изменения ПДн, произвёдшегося по заявлению субъекта об уточнении обрабатываемых его ПДн, работником Оператора, выполневшим данные изменения, на заявлении делается отметка об исполнении.
3. Условия и порядок обезличивания информации, содержащей персональные данные
Деобезличивание - действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными.
Обезличивание персональных данных - действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обезличенные данные — это данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.
3.1.Оператор может обезличивать персональные данные в статистических или иных исследовательски целях, по достижении целей обработки дополнительной информации или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2.Оператор в процессе обезличивания руководствуется Методическими рекомендациями по применению приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных", и Методических рекомендаций, утверждённые Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 13 декабря 2013 г.)
3.3.Способы обезличивания при условии дальнейшей обработки персональных данных:
- замена части данных идентификаторами (замена части сведений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторами исходными данными);
- обобщение, изменение или удаление части данных (изменение состава или семантики персональных данных путем замены результатами статистической обработки, преобразования, обобщения или удаления части сведений);
- разделение данных на части и обработка в разных информационных системах (разделение множества персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- перемешивание данных (перестановка отдельных значений или групп значений атрибутов персональных данных в массиве персональных данных);
- другие способы.
3.4.В каждом конкретном случае необходимо применять метод, который гарантирует свойства, необходимые для решения конкретных задач обработки, стоящих перед Оператором. При выборе методов и процедур обезличивания персональных данных следует руководствоваться целями и задачами обработки персональных данных.
В случае достижения целей обработки персональных данных или в случае утраты необходимости в достижении этих целей способом обезличивания является уменьшение перечня обрабатываемых данных.
3.5.Ответственный за организацию обработки персональных данных назначается ответственным за проведение мероприятий по обезличиванию персональных данных. Решение о необходимости обезличивания персональных данных и способе обезличивания принимает ответственный за организацию обработки персональных данных или комиссия по обеспечению безопасности персональных данных.
3.6.Допускается программная реализация процедуры обезличивания способами и средствами, доступными Оператору. Различные способы реализации одной процедуры должны обеспечивать одинаковые результаты.
3.7.Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
3.8.При использовании процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
3.9.В процессе обработки обезличивания данных, при необходимости, может производиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания, уничтожаются.
3.10. Обработка персональных данных до осуществления процедур обезличивания и после выполнения операций деобезличивание должна осуществляться в соответствии с законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.
3.11.Оператор обязан:
- обеспечить соответствие процедур обезличивания/деобезличивание условиям и целям обработки персональных данных;
- при реализации процедур обезличивание и деобезличивание, а также при последующей обработке обезличенных данных не нарушать права субъекта персональных данных;
- обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивание и параметрах процедуры обезличивания.