Политика конфиденциальности

  1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Религиозная организация Западно-Российский Союз Церкви Христиан-Адвентистов Седьмого Дня, выполняя требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и на основании Рекомендаций Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом № 152-ФЗ, публикует в свободном доступе настоящую Политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.

1.2. Политика Религиозной организации Западно-Российский Союз Церкви Христиан-Адвентистов Седьмого Дня в отношении обработки персональных данных (далее — Политика обработки ПДн) определяет порядок обработки и защиты персональных данных сотрудников Религиозной организации Западно-Российский Союз Церкви Христиан-Адвентистов Седьмого Дня (далее — Союз), а также работников церковных организаций и учреждений, членов общин Союза; участников мероприятий: конгрессов, съездов, слётов, конференций, совещаний, организуемых Союзом; подписчиков регулярных изданий Союза.

1.3. Политика обработки ПДн разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.4. Основные понятия:

1.4.1. Персональные данные (далее – ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

1.4.2. Субъект персональных данных — физическое лицо, к которому относятся соответствующие ПДн.

Субъектами персональных данных в Союзе являются:

— сотрудники Союза;

— работники церковных организаций и учреждений, члены общин  Союза;

— участники мероприятий: конгрессов, съездов, слётов, конференций, совещаний, организуемых Союзом;

— подписчики регулярных изданий Союза.

1.4.3. Обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение ПДн сотрудников Союза; работников церковных организаций и учреждений, членов общин Союза; участников мероприятий: конгрессов, съездов, слётов, конференций, совещаний, организуемых Союзом; подписчиков регулярных изданий Союза;

1.4.4. Автоматизированная обработка персональных данных — обработка ПДн с помощью средств вычислительной техники.

1.4.5. Пользователь информационной системы персональных данных (далее – Пользователь) — лицо, уполномоченное на получение, обработку, хранение, передачу и другое использование ПДн, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

1.4.6. Ответственный за обработку персональных данных (далее — Ответственное лицо) — должностное лицо (руководитель структурного подразделения), ответственное за организацию обработки и обеспечение безопасности ПДн в своем структурном подразделении, за методическое руководство работой Пользователя(ей), хранение, ведение и контроль ведения журналов и иной документации по обработке ПДн.

1.4.7. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к ПДн работников, требование не допускать их распространения без согласия работника или иного законного основания;

Обеспечение конфиденциальности ПДн не требуется:

— в случае обезличивания персональных данных;

— в отношении общедоступных персональных данных — данных, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.4.8. Распространение персональных данных — действия, направленные на передачу ПДн работников определенному кругу лиц (передача ПДн) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование ПДн работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн работников каким-либо иным способом;

1.4.9. Использование персональных данных — действия (операции) с ПДн, совершаемые должностным лицом Союза в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

1.4.10. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения ПДн работников, в том числе их передачи;

1.4.11. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание ПДн в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители ПДн работников;

1.4.12. Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность ПДн конкретному работнику;

1.4.13. Информация — сведения (сообщения, данные) независимо от формы их представления.

1.4.14. Документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

1.5. Права и обязанности работодателя в отношении обработки персональных данных.

1.5.1. В целях обеспечения прав и свобод человека и гражданина при обработке ПДн работника работодатель обязан соблюдать следующие требования:

— обработка ПДн работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

— при определении объема и содержания обрабатываемых ПДн работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами;

— защита ПДн работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;

— работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПДн работников, а также об их правах и обязанностях в этой области.

1.5.2. Работодатель имеет право собирать, хранить, передавать ПДн сотрудников без их письменного согласия в следующих ситуациях:

— при приеме на работу работодатель получает ПДн из резюме соискателя на вакантную должность, которое он разместил в интернете и сделал доступным неограниченному кругу лиц,  или от кадрового агентства, которое представляет интересы кандидата;

—  при приеме на работу работодатель получает сведения из документов, которые предоставил кандидат;

— при ведении бухгалтерского и налогового учета, а также обработке и хранении в компании документов налогового и бухгалтерского учета;

— по запросу суда для рассмотрения дела;

— согласно мотивированному требованию правоохранительных органов и органов безопасности;

— по запросу инспектора ГИТ, прокурора, судебного пристава;

— при передаче, согласно требованиям законодательства РФ, сведений о сотрудниках в ПФР, ФСС, налоговые органы, военные комиссариаты;

— публикации и размещения ПДн сотрудников в интернете, когда этого требует антикоррупционное законодательство, Закон об образовании и т. п.;

— защиты жизни, здоровья или иных жизненно важных интересов работника либо других лиц, если согласие сотрудника получить невозможно;

— защиты права и законных интересов работодателя или третьих лиц, если это не нарушает права и свободы сотрудника.

1.6. Права и обязанности сотрудника в отношении обработки персональных данных.

1.6.1. В целях обеспечения достоверности своих персональных данных работник обязан:

— предоставлять сотрудникам, ответственным за обработку ПДн в Союзе полные достоверные данные о себе;

— незамедлительно сообщать сотрудникам, ответственным за обработку ПДн  в Союзе об изменении своих персональных данных.

1.6.2. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

— на полную информацию об их ПДн и обработке этих данных;

— на свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн работника, за исключением случаев, предусмотренных федеральным законом;

— на определение своих представителей для защиты своих ПДн;

— на доступ к относящимся к ним медицинским данным;

— на требование об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

— на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

— на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите своих ПДн.

1.6.3. Право работника (субъекта персональных данных) на доступ к своим ПДн ограничивается в случае, если:

— обработка ПДн, в том числе персональных данных полученных в результате оперативно-розыскной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

— обработка ПДн осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

— предоставление ПДн нарушает права и законные интересы третьих лиц.

 

  1. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

2.1. Союз осуществляет сбор ПДн с целью:

— выполнения требований законодательства Российской Федерации в сфере труда и налогообложения;

— ведения текущего бухгалтерского и налогового учёта, формирования, изготовления и своевременной подачи бухгалтерской, налоговой и статистической отчётности;

— выполнения требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся контрагентами Союза;

— осуществления прав и законных интересов Союза в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Союза, или третьих лиц, либо достижения общественно значимых целей;

— достижения иных законных целей.

 

  1. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:

— Конституции Российской Федерации;

— Трудового кодекса Российской Федерации;

— Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

— Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;

— Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;

— Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

— Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

— Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

— Приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников»;

— Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

 

 

  1. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,

КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Союз обрабатывает ПДн сотрудников и их родственников, кандидатов на замещение вакансий, бывших работников, лиц, выполняющих работу по гражданским договорам.

4.2. В состав ПДн сотрудников Союза и их родственников, кандидатов на замещение вакансий, бывших работников, а также лиц, выполняющих работу по гражданским договорам входят:

— фамилия, имя, отчество;

— пол;

— дата и место рождения;

— предыдущая фамилия;

— сведения о семейном положении и о составе семьи;

— национальность и гражданство;

— ИНН, реквизиты полиса ОМС, номер страхового свидетельства государственного пенсионного страхования;

— сведения медицинского характера (результаты медицинского обследования на предмет осуществления трудовых функций);

— паспортные данные (иного документа, удостоверяющего личность);

— адрес регистрации и фактического места жительства;

— контактная информация (номер(а) телефона(ов), адрес(а) электронной почты);

— сведения об образовании (о законченном учебном заведении);

— сведения о повышении квалификации, профессиональной переподготовке;

— сведения о местах работы и ранее занимаемых должностях;

— сведения о трудовом стаже;

— сведения о поощрениях, наградах, званиях, ученой(ых) степени(ей);

— сведения о социальных льготах;

— сведения о воинском учете;

— сведения о родителях (ближайших родственниках);

— сведения о заработной плате;

— иные сведения, необходимые для целей трудоустройства в рамках действующего законодательства.

4.3. В состав ПДн работников церковных организаций и учреждений, членов общин Союза входят:

— фамилия, имя, отчество;

— пол;

— возраст;

— адрес регистрации места жительства;

— паспортные данные;

— контактная информация (номер(а) телефона(ов), адрес(а) электронной почты).

4.4. В состав ПДн участников мероприятий: конгрессов, съездов, слётов, конференций, совещаний, организуемых Союзом входят:

— фамилия, имя, отчество;

— пол;

— возраст;

— адрес регистрации места жительства;

— паспортные данные;

— контактная информация (номер(а) телефона(ов), адрес(а) электронной почты).

4.5. В состав подписчиков регулярных изданий Союза входят:

— фамилия, имя, отчество;

— почтовый адрес.

4.6. Все ПДн являются конфиденциальными, за исключением общедоступных. Общедоступными персональными данными являются сведения, к которым обеспечен свободный доступ с согласия субъекта таких персональных данных или в силу прямого указания закона. Случаи, в которых согласие субъекта персональных данных на обработку не требуются приведены в ч.2 ст. 6 Федерального закона от 27.072006 № 152-ФЗ «О персональных данных».

4.7. Документы, содержащие ПДн.

К персональным данным относится документированная информация, содержащаяся в конкретных документах. Документы, содержащие ПДн субъектов персональных данных:

— трудовой договор;

— приказы по личному составу;

— трудовая книжка;

— личное дело;

— личная карточка сотрудника (Т 2);

— паспорт (иной документ, удостоверяющий личность);

— ИНН, страховое свидетельство государственного пенсионного страхования;

— документы воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу;

— документы об образовании, квалификации или наличии специальных знаний;

— иные документы (анкеты, результаты опросов, тестов, справки, резюме, рекомендации, характеристики, грамоты и др.);

— документы о составе семьи;

— медицинские справки о состоянии здоровья;

— документы о состоянии здоровья субъекта персональных данных (сведения об инвалидности и т.п.), а также о состоянии здоровья детей, родителей и других близких родственников субъекта персональных данных, когда с наличием таких документов связано предоставление каких-либо гарантий и компенсаций;

— документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством;

— документы о беременности и возрасте детей для предоставления матери (отцу, иным родственникам) установленных законом условий труда, гарантий, компенсаций;

— документы, необходимые для трудоустройства иностранного гражданина (согласно гл.50.1 ТК РФ);

— копия справки об отсутствии судимости;

— документ, содержащий сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей;

— иные документы, содержащие персональные данные субъекта персональных данных.

4.8. Документы, содержащие ПДн создаются путем: копирования оригиналов; внесения сведений в учетные формы (на бумажных и электронных носителях); получения оригинала необходимых документов (трудовая книжка, автобиография, медицинское заключение и др.).

4.9. Персональные данные субъектов персональных данных и документы, указанные в п. 4.7. настоящей Политики обработки ПДн, являются конфиденциальными и не могут быть использованы Союзом или иным лицом в личных целях. Режим конфиденциальности снимается в случаях их обезличивания либо по истечении сроков хранения, если иное не определено законом.

 

  1. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. Обработку ПДн в Союзе организуют руководитель Союза (президент).

5.2. Руководитель Союза, далее Ответственное лицо, указанное в п. 5.1., ответственно за:

— доведение до сведения работников Союза положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки ПДн, требований к защите ПДн;

— организацию обработки ПДн сотрудниками Союза;

— организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей.

5.3. Контроль за исполнением сотрудниками Союза требований законодательства  Российской  Федерации и положений локальных нормативных актов Союза при обработке ПДн возложен на Ответственное лицо.

5.4. Ответственное лицо:

— осуществляют внутренний контроль за соблюдением Союзом и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите ПДн;

— контролируют прием и обработку обращений и запросов субъектов персональных данных или их представителей.

5.5. Обработка ПДн осуществляется:

— программой бухгалтерского учета и управления финансово-экономической деятельностью в модуле «Зарплата и Кадры», 1С: Предприятие 8 (в отделе бухгалтерия).

5.6. Программа 1С: Предприятие 8, используемая в работе отдела бухгалтерии, предназначена для хранения таких ПДн, как:

— персональный идентификатор;

— фамилию, имя, отчество субъекта персональных данных;

— вид документа, удостоверяющего личность субъекта персональных данных;

— серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;

— адрес регистрации и адрес фактического проживания субъекта персональных данных;

— контактный телефон, факс (при наличии) субъекта персональных данных;

— адрес электронной почты субъекта персональных данных;

— ИНН субъекта персональных данных;

— номер страхового свидетельства обязательного пенсионного страхования;

— свидетельство о регистрации брака, свидетельство о рождении детей (при наличии);

— сведения о воинском учете и реквизиты документов воинского учета.

5.7. Сотруднику Союза, имеющему право осуществлять обработку ПДн, предоставляются уникальный логин и пароль для доступа к соответствующей информационной системе Союза в установленном порядке. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами Союза.

5.8. Информация может вноситься как в автоматическом режиме — при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме — при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

5.9. При оформлении трудовых отношений и заключении гражданских договоров на выполнение работ или оказание услуг Союз не оформляет письменное согласие на обработку ПДн. В остальных случаях Союз обязан оформить письменное согласие на обработку ПДн, в котором должны быть указаны следующие сведения:

— фамилия, имя, отчество, адрес сотрудника;

— реквизиты паспорта или иного документа, удостоверяющего его личность, в т.ч. сведения о дате выдачи документа и выдавшем его органе;

— наименование и адрес вашей компании;

— цель обработки персональных данных;

— перечень персональных данных, на обработку которых дает согласие сотрудник;

— перечень действий с ПДн, на совершение которых сотрудник дает согласие;

— общее описание способов обработки персональных данных;

— срок, в течение которого действует согласие сотрудника, и как его можно отозвать;

— подпись сотрудника.

5.10. Согласие на обработку ПДн может быть отозвано субъектом персональных данных в любое время на основании его письменного заявления, поданного на имя президента Союза.

5.11. Союз получает ПДн в порядке, предусмотренном федеральными законами, подзаконными актами и настоящим Положением:

5.11.1. Объем и содержание сведений соответствуют Конституции РФ и федеральным законам;

5.11.2. ПДн могут быть получены только у самого субъекта персональных данных. Получить ПДн у третьего лица можно только с письменного согласия субъекта, если невозможно получить информацию у него самого.

5.12. Союз получает ПДн у третьих лиц после обязательного письменного уведомления об этом субъекта персональных данных. В уведомлении должны быть указаны:

— цели получения персональных данных;

— характер персональных данных;

— источники и способы их получения;

— права субъекта и последствия отказа дать согласие на получение сведений.

Если субъект согласен на получение его ПДн у третьей стороны, необходимо оформить письменное согласие.

5.13. Союз хранит ПДн в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование. Все ПДн хранятся в недоступном для неуполномоченных лиц месте: в сейфах или иных закрывающихся на замок шкафах.

5.14. При достижении целей обработки сотрудники, ответственные за обработку ПДн в Союзе уничтожают ПДн. Исключения:

— ПДн должны храниться длительное время в силу требований нормативных правовых актов;

— кандидат на работу желает остаться в кадровом резерве Союза.

5.15. Уничтожение ПДн субъектов персональных данных в Союзе осуществляется внутренней комиссией, утвержденной приказом президента Союза, с последующим составлением соответствующего акта. Допускается уничтожение ПДн не менее чем двумя уполномоченными сотрудниками Союза.

5.16. Уничтожение документов, содержащих Пдн субъектов персональных данных, в Организации производится способом, исключающим восстановление информации, содержащей ПДн (путем сжигания, измельчения в бумагорезательной машине).

5.17. Союз передает ПДн в порядке, установленном законом и настоящим Положением.

5.18. ПДн передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законом.

5.19. Все случаи предоставления субъекту персональных данных доступа к своим ПДн, либо отказа от такого доступа, регистрируются в «Журнале учета обращений субъектов персональных данных».

 

 

  1. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ

ПОРЯДКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6.1. Работники Союза, осуществляющие обработку персональных данных, а также лица, которым ПДн стали известны в силу их служебного положения или выполнения работ в соответствии с договорами/контрактами, заключенными с Союзом, несут дисциплинарную, гражданско-правовую, административную, уголовную и иную ответственность в порядке, установленном Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Уголовным кодексом Российской Федерации и иными федеральными законами, за разглашение ПДн, их передачу посторонним лицам, в том числе, работникам Союза, не имеющим к ним доступа, их публичное раскрытие, утрату документов и иных носителей, содержащих ПДн субъектов персональных данных, а также иные нарушения обязанностей по их защите и обработке, установленных Положением об обработке и защите персональных данных в Союзе, а также иными локальными нормативными актами (приказами, распоряжениями) Союза.