ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ В МОСКОВСКОЙ ОБЛАСТНОЙ НОТАРИАЛЬНОЙ ПАЛАТЕ
1. Общие положения
1.1. Политика в отношении обработки и защиты персональных данных в Московской областной Нотариальной Палате (далее — Политика) разработана в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и является основополагающим локальным актом Московской областной Нотариальной Палаты (далее — МоНП), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является МоНП.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в МоНП, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в МоНП с использованием средств автоматизации, а также без использования средств автоматизации.
1.4. МоНП обеспечивает открытый доступ к Политике в отношении обработки персональных данных путем ее размещения в сети Интернет на сайте МоНП (http://monp.ru/politika-v-otnoshenii-obrabotki-personalnyh-dannyh/).
1.5. В Политике используются термины и определения, применяемые в значениях, определенных Законом о персональных данных:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— неавтоматизированная обработка персональных данных обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.6. При организации обработки персональных данных МоНП имеет право:
— осуществлять обработку персональных данных работников МоНП в рамках трудового законодательства;
— осуществлять обработку и систематизацию персональных данных, предоставленных в составе документов и обращений граждан, поступающих через сайт МоНП (http://monp.ru) в соответствии с законодательством Российской Федерации в целях передачи в МоНП;
— передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
1.7. При организации обработки персональных данных МоНП обязан:
— осуществлять обработку персональных данных строго в соответствии с законодательством Российской Федерации;
— предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных;
— разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные и Согласие на обработку данных;
— соблюдать принцип достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; недопустимости объединения, созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
— уничтожать персональные данные по достижении целей обработки или в случае утраты необходимости в их достижении.
Если персональные данные получены не от субъекта персональных данных, МоНП за исключением случаев, предусмотренных Законом о персональных данных, до начала обработки таких персональных данных обязан в установленном порядке уведомить об этом субъекта персональных данных.
1.8. Субъект персональных данных имеет право:
— требовать от МоНП уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— получать от МоНП информацию, касающуюся обработки его персональных данных, в том числе содержащую:
— подтверждение факта обработки МоНП персональных данных;
— правовые основания и цели обработки персональных данных;
— цели и применяемые МоНП способы обработки персональных данных;
— сведения о лицах (за исключением работников МоНП), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
— источник получения обрабатываемых персональных данных;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению МоНП, если обработка поручена или будет поручена такому лицу;
— отозвать Согласие на обработку своих персональных данных, в случае их неправомерного использования в МоНП;
— обжаловать действия или бездействие МоНП в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
— иные сведения, предусмотренные федеральными законами.
1.8.1. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.8.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
1.9. Субъект персональных данных при поступлении на работу в МоНП обязан точно указывать свои персональные данные, которые необходимы для исполнения требований трудового законодательства.
2. Цели обработки персональных данных
2.1. МоНП обрабатывает персональные данные в целях:
— оформления трудовых отношений, ведения кадрового делопроизводства, содействия в трудоустройстве, обучении, повышении по службе, пользовании различными льготами и гарантиями, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и сохранности имущества;
— заключения, исполнения и прекращения гражданско-правовых договоров;
— анкетирования, тестирования, проведения собеседований с кандидатом на должность;
— передачи в МоНП поступающих обращений, в том числе обращений в нотариальные палаты субъектов Российской Федерации, к нотариусам Российской Федерации;
— выполнения требований действующего законодательства;
— в иных случаях, установленных в законе, Уставе МоНП.
2.2. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Фонд осуществляет обработку персональных данных.
3.2. МоНП обрабатывает персональные данные на основании:
— Трудового кодекса Российской Федерации;
— иных федеральных законов и прочих нормативных правовых актов;
— устава МоНП;
— договоров, заключаемых между МоНП и субъектами персональных данных;
— согласий на обработку персональных данных.
4. Категории субъектов персональных данных и категории
обрабатываемых персональных данных
4.1. МоНП осуществляет обработку персональных данных:
— работников МоНП, бывших работников МоНП, кандидатов на замещение вакантных должностей в МоНП, а также родственников работников МоНП;
— клиентов и контрагентов МоНП (физических лиц);
— представителей (работников) клиентов и контрагентов МоНП (юридических лиц);
— граждан, направляющих обращения через формы подачи электронных обращений через сайт МоНП (http://monp.ru).
4.2. В рамках исполнения трудового законодательства МоНП осуществляет обработку следующих категорий персональных данных:
4.2.1. Неавтоматизированная обработка персональных данных:
— фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
— пол;
— место рождения;
— дата рождения;
— адрес места жительства (адрес регистрации, фактического проживания);
— номер контактного телефона (домашний, рабочий, мобильный), адрес электронной почты или сведения о других способах связи;
— семейное положение и состав семьи (муж/жена, дети);
— гражданство;
— паспортные данные (серия, номер паспорта, кем и когда выдан);
— реквизиты свидетельства государственной регистрации актов гражданского состояния;
— фотография;
— сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
— сведения об ученой степени;
— сведения о трудовой деятельности;
— информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
— информация о владении иностранными языками, степень владения;
— группа инвалидности;
— сведения о воинском учете и реквизиты документов воинского учета (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
— ИНН;
— данные об аттестации работников;
— сведения о профессиональной переподготовке и (или) повышении квалификации;
— информация о наградах, медалях, поощрениях, почетных званиях;
— информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;
— информация об отпусках;
— информация о командировках;
— реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
— оплата труда;
— надбавки к оплате труда, прочие выплаты материального стимулирования;
— иные персональные данные, необходимые для достижения целей, предусмотренных настоящей Политикой.
4.2.2. Автоматизированная обработка персональных данных:
— фамилия, имя, отчество;
— место рождения;
— дата рождения;
— год рождения;
— пол;
— гражданство;
— адрес проживания;
— контактный телефон;
— паспортные данные;
— семейное положение;
— ИНН;
— страховой номер ПФР;
— код ИФНС;
— образование;
— должность;
— сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
— вид договора, сведения о контракте (номер, дата, срок действия);
— дата принятия на работу;
— размер трудового стажа;
— начисления и удержания к зарплате (виды расчета и показатели для расчета начисления и удержания);
— суммы ежемесячных авансовых платежей и заработной платы;
— группа инвалидности;
— статус налогоплательщика;
— налоговые вычеты;
— налоги на доходы физических лиц;
— сведения о начислениях страховых взносов в государственные внебюджетные фонды.
4.3. При обработке обращений граждан (автоматизированная обработка персональных данных) МоНП осуществляет обработку следующих категорий персональных данных:
— фамилия, имя, отчество;
— дата рождения;
— год рождения;
— домашний адрес;
— домашний/мобильный телефоны;
— адрес электронной почты.
4.4. При подготовке ответов на обращения граждан МоНП осуществляет автоматизированную обработку следующих категорий персональных данных:
— фамилия, имя, отчество;
— дата рождения;
— год рождения;
— домашний адрес;
— домашний/мобильный телефоны;
— адрес электронной почты.
5. Порядок и условия обработки персональных данных
5.1. В МоНП осуществляется смешанная обработка персональных данных (неавтоматизированная и автоматизированная), без осуществления трансграничной передачи персональных данных, без использования средств криптографической защиты информации (СКЗИ) в защищенных каналах связи.
5.2. Перечень действий с персональными данными, осуществляемых МоНП:
— сбор,
— систематизация,
— накопление,
— хранение,
— использование,
— передача (предоставление, доступ),
— обезличивание,
— блокирование,
— удаление,
— уничтожение.
5.3. Обращения граждан, содержащие персональные данные, подаваемые гражданами через сайт МоНП (http://monp.ru/) предоставляются МоНП следующим образом:
— в электронной форме — посредством заполнения гражданином формы подачи электронного обращения на сайте МоНП.
5.4. Все обращения граждан в МоНП, палаты субъектов Российской Федерации, нотариусам Российской Федерации, содержащие персональные данные, для их последующей обработки и исполнения передаются в МоНП (115054, Москва, Озерковская набережная д. 52а) по защищенным каналам связи.
5.5. В МоНП (115054, Москва, Озерковская набережная д. 52а) принимаются следующие меры по обеспечению безопасности персональных данных:
— назначено должностное лицо, ответственное за обеспечение безопасности персональных данных;
— информация обрабатывается в соответствии с требованиями нормативных документов МоНП (115054, Москва, Озерковская набережная д. 52а), регламентирующих порядок хранения, обработки и защиты персональных данных, в частности, в соответствии с «Положением о порядке обработки и обеспечении безопасности персональных данных в МоНП», утвержденного приказом директора МоНП;
— определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
— информация хранится и обрабатывается в специальных строго контролируемых помещениях, расположенных в пределах границ контролируемой и охраняемой зоны;
— осуществляется круглосуточная охрана помещений и технических средств;
— ограничен доступ персонала и посторонних лиц в защищаемые помещения и помещения, где размещены объекты хранения информации, средства информатизации и коммуникации, а также где хранятся носители информации;
— хранение бумажных носителей информации осуществляется в запираемых и опечатываемых помещениях;
— информация доступна лишь для определенных категорий работников.
— разграничен доступ пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
— проводится идентификация и проверка подлинности пользователей при входе в систему по буквенно-цифровому паролю;
— осуществляется регистрация действий пользователей и обслуживающего персонала, и контроль за несанкционированным доступом;
— обеспечивается целостность программных средств системы защиты персональных данных, обрабатываемой информации;
— обеспечивается антивирусная защита информационной системы;
— используются средства и возможности восстановления модифицированных или уничтоженных персональных данных;
— осуществляется учет и хранение бумажных и машинных носителей информации;
— осуществляется регулярное ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучение указанных сотрудников;
— осуществляется внутренний контроль соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
— осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
5.9. Документы, содержащие персональные данные работников МоНП, обрабатываются в помещениях, расположенных по адресу: 115054, Москва, Озерковская набережная д. 52а.
5.10. Обращения граждан и ответы на обращения, содержащие персональные данные, хранятся в помещениях, расположенных по адресу: 115054, Москва, Озерковская набережная д. 52а.
5.11. Обращения граждан, содержащие персональные данные, подаваемые гражданами через сайт МоНП (http://monp.ru/) хранятся на защищенных серверах МоНП по адресу: 115054, Москва, Озерковская набережная д. 52а;
5.12. Условия прекращения обработки персональных данных:
— истечение срока действия Согласия на обработку персональных данных;
— достижение целей обработки персональных данных, содержащихся в обращениях граждан;
— отзыв согласия субъекта персональных данных на обработку его персональных данных, в случае их неправомерного использования в МоНП;
— выявление неправомерной обработки персональных данных.
6. Актуализация, исправление, уничтожение персональных данных,
ответы на запросы субъектов на доступ к персональным данным
6.1. Субъект персональных данных вправе требовать от МоНП уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
6.2. Для реализации своих прав субъект персональных данных или его законный представитель должны оформить обращение в письменной форме и направить его в МоНП почтой по адресу: 115054, Москва, Озерковская набережная д. 52а, или на электронный адрес: info@monp.ru, или передать при личном приеме.
6.3. Обращение должно содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Фондом (регистрационный номер и дата регистрации Выписки из Электронного журнала регистрации и контроля за обращениями заявителей), либо сведения, иным образом подтверждающие факт обработки персональных данных Фондом, подпись субъекта персональных данных или его представителя.
6.3. Ответ на обращение отправляется субъекту персональных данных в письменном виде по почте на адрес, указанный в обращении.
6.4. Сведения, предоставляемые Фондом субъекту персональных данных в соответствии с п. 1.8, должны излагаться в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.5. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать тридцати календарных дней с даты получения Фондом обращения.
6.6. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Фондом, а обработка должна быть прекращена.
6.7. Срок внесения необходимых изменений в персональные данные, являющиеся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
6.8. Срок уничтожения персональных данных, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
7. Порядок уничтожения персональных данных при
достижении целей обработки
7.1. Структурным подразделением Фонда, ответственным за делопроизводство, осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения и подлежащих уничтожению.
7.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании Экспертной комиссии Фонда, состав которой утвержден приказом директора Фонда.
По итогам заседания Экспертной комиссии Фонда составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность.
В порядке, установленном законодательством Российской Федерации, определяется подрядная организация, имеющая необходимую производственную базу для обеспечения установленного порядка уничтожения документов.
Приказом директора Фонда назначается должностное лицо, ответственное за сопровождение документов, содержащих персональные данные, до производственной базы подрядчика и присутствующее при процедуре уничтожения документов (измельчение, сжигание или химическое уничтожение).
7.4. По окончании процедуры уничтожения документов, подрядчиком и должностным лицом Фонда составляется соответствующий Акт об уничтожении документов, содержащих персональные данные.
7.5. Уничтожение персональных данных на электронных носителях по окончании срока их обработки производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
7.6. Удаление персональных данных по окончании срока обработки из информационных систем персональных данных производится методами и средствами гарантированного удаления остаточной информации.
8. Ответственный за организацию обработки персональных
данных в Фонде
8.1. Ответственный за организацию обработки персональных данных в Фонде назначается приказом из числа сотрудников Фонда в соответствии с распределением обязанностей.
8.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящим Положением.
8.3. Ответственный за обработку персональных данных обязан:
8.3.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Фонде от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
8.3.2. осуществлять внутренний контроль за соблюдением работниками Фонда требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
8.3.3. доводить до сведения работников Фонда положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
8.3.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
8.3.5. в случае нарушения в Фонде требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
8.4. Ответственный за обработку персональных данных вправе:
8.4.1. иметь доступ к информации, касающейся обработки персональных данных в Фонде и включающей:
— цели обработки персональных данных;
— категории обрабатываемых персональных данных;
— категории субъектов, персональные данные которых обрабатываются;
— правовые основания обработки персональных данных;
— перечень действий с персональными данными, общее описание используемых в Фонде способов обработки персональных данных;
— описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»;
— дату начала обработки персональных данных;
— срок или условия прекращения обработки персональных данных;
— сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
— сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
8.4.2. привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Фонде, иных работников с возложением на них соответствующих обязанностей и закреплением ответственности.
8.5. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в Фонде в соответствии с положениями законодательства Российской Федерации в области персональных данных.
9. Заключительные положения
9.1. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех работников Фонда.
9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.