Политика (политика) о защите персональных данных, обрабатываемых в Адвокатской палате Республики Башкортостан

Приложение № 2

к распоряжению Адвокатской палаты Республики Башкортостан

от « 16 » февраля 2015 г. № 8

ПОЛОЖЕНИЕ

(политика)

о защите персональных данных, обрабатываемых

в Адвокатской палате Республики Башкортостан.

Термины и определения

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные работника организации - информация, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника; сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность и содержащиеся в личном деле, либо подлежащие включению в его личное дело.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

1. Общие положения

1.1. Положение (политика) о защите персональных данных, обрабатываемых в Адвокатской палате Республики Башкортостан (далее – Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.2. Положение устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность президента Адвокатской палаты Республики Башкортостан, работников Адвокатской палаты Республики Башкортостан.

Адвокатская палата Республики Башкортостан является оператором персональных данных.

1.3. Все права оператора по обработке (за исключением передачи, блокирования, уничтожения, обезличивания) персональных данных работников Адвокатской палаты Республики Башкортостан, необходимые для оформления трудовых отношений, предоставляются начальнику отдела кадров Адвокатской палаты Республики Башкортостан, другие работники допускаются к обработке персональных данных в объеме, определяемом президентом Адвокатской палаты Республики Башкортостан.

1.4. К персональным данным, обрабатываемым в Адвокатской палате Республики Башкортостан, относятся:

- персональные данные работников аппарата Адвокатской палаты Республики Башкортостан;

- персональные данные адвокатов – членов Адвокатской палаты Республики Башкортостан;

- персональные данные претендентов на присвоение статуса адвоката;

- персональные данные граждан, направивших обращения в Адвокатскую палату Республики Башкортостан.

1.5. Персональные данные в Адвокатской палате Республики Башкортостан могут содержаться в следующих документах:

- личных делах работников;

- трудовых книжках работников;

- кадровых документах;

- личных делах претендентов на присвоение статуса адвоката;

- личных делах адвокатов – членов Адвокатской палаты Республики Башкортостан;

- документах граждан, направивших обращения в Адвокатскую палату Республики Башкортостан;

- материалах дисциплинарных производств;

- бухгалтерских документах;

- документах о награждениях;

- протоколах;

- справках;

- списках.

Выше названные документы могут включать сведения, содержащиеся в документе, удостоверяющем личность, страховом свидетельстве государственного пенсионного страхования, свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации, документе воинского учета, документах об образовании, квалификации или наличии специальных знаний, медицинских справках, документах, подтверждающих право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством, документах о семейном положении, о возрасте детей или беременности женщины для предоставления установленных законом условий труда, гарантий и компенсаций, о заработной плате, платежных и других документах, используемых для осуществления функций Адвокатской палаты Республики Башкортостан.

1.6. Персональные данные в Адвокатской палате Республики Башкортостан могут быть ограниченного доступа и общедоступные.

1.7. Организация обработки и защиты персональных данных в Адвокатской палате Республики Башкортостан возлагается на ответственного за организацию обработки персональных данных в Адвокатской палате Республики Башкортостан.

1.8. Требования настоящего Положения доводятся до всех работников Адвокатской палаты Республики Башкортостан под роспись.

2. Обработка персональных данных

2.1. Общий порядок обработки персональных данных.

2.1.1. Обработка персональных данных в Адвокатской палате Республики Башкортостан ведется в объеме, определяемом Уставом.

2.1.2. Обработка персональных данных, включаемых в личные дела работников, адвокатов, претендентов на присвоение статуса адвоката, граждан, направивших обращения в Адвокатскую палату Республики Башкортостан, осуществляется работниками с соблюдением требований законодательства.

2.1.3. Президентом Адвокатской палаты Республики Башкортостан определяются лица, ответственные за обработку персональных данных в Адвокатской палате Республики Башкортостан (далее - уполномоченные лица).

2.2. Порядок обработки персональных данных без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм.

2.2.1. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.2.2. Лица, осуществляющие обработку персональных данных в Адвокатской палате Республики Башкортостан без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных действующим законодательством, а также локальными правовыми актами Адвокатской палаты Республики Башкортостан.

2.2.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

2.2.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

2.2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.2.6. Правила, предусмотренные 2.2.4. и 2.2.5. настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

2.2.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.3. Получение (сбор) персональных данных:

- сбор персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- при определении объема и содержания обрабатываемых персональных данных оператор (уполномоченное лицо) должен руководствоваться действующим законодательством;

- все персональные данные следует получать лично у субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Оператор (уполномоченное лицо) должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение;

- запрещается требовать от лиц, поступающих на работу, документы, не предусмотренные Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ;

- запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- оператор (уполномоченное лицо) не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, а также частной жизни - сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются;

- при принятии решений, затрагивающих интересы субъекта персональных данных, оператор (уполномоченное лицо) не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки;

- субъекты персональных данных, не являющиеся работниками, или их законными представителями имеют право ознакомиться с документами оператора, определяющими политику оператора в отношении обработки и защиты персональных данных, а также их права и обязанности в этой области;

- все документы, содержащие персональные данные, должны быть уничтожены в соответствии с установленным порядком по достижении цели, для которой они собирались и использовались;

- дела, содержащие персональные данные субъектов персональных данных, должны оформляться в соответствии с требованиями действующего законодательства.

2.4. Обработка документов внутреннего пользования.

2.4.1. В Адвокатской палате Республики Башкортостан могут создаваться документы внутреннего пользования, содержащие персональные данные работников и адвокатов (телефонные справочники, объявления, поздравления и т.п.). Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы.

2.4.2. Внутренние телефонные справочники выдаются в отделы под роспись с указанием количества выданных в подразделение экземпляров. При этом старые справочники уничтожаются лицами, которым они были выданы.

2.4.3. Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего пользования, содержащие персональные данные, запрещается.

2.4.4. Обработка персональных данных ведется работниками на рабочих местах, выделенных для исполнения ими должностных обязанностей. Членами Совета Адвокатской палаты Республики Башкортостан и членами Квалификационной комиссии Адвокатской палаты Республики Башкортостан обработка персональных данных может производиться в помещениях, где происходит заседание данного Совета или Квалификационной комиссии. По окончании заседания документы, содержащие персональные данные, возвращаются в места их постоянного хранения.

2.5. Передача персональных данных.

При передаче персональных данных субъекта персональных данных оператор обязан соблюдать следующие требования:

- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законодательством. Без письменного согласия субъекта персональных данных разрешается передача персональных данных в структурные подразделения Адвокатской палаты Республики Башкортостан, Совету и Квалификационной комиссии Адвокатской палаты Республики Башкортостан для выполнения ими функций в соответствии с действующим законодательством;

- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности;

- разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения ими конкретных функций;

- передавать персональные данные представителям субъектов персональных данных в порядке, установленном действующим законодательством, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций;

- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

- выдавать по заявлению субъекта персональных данных (в случае необходимости - письменному), не позднее трех дней со дня подачи этого заявления, справки и копии документов, в случаях, предусмотренных законодательством (копии документов должны быть заверены надлежащим образом и выдаваться работнику бесплатно);

- вести учет передачи персональных данных субъектов персональных данных третьим лицам путем ведения соответствующего журнала, содержащего сведения о поступившем запросе, дату ответа на запрос, данные о переданной информации, или отметку об отказе в ее предоставлении, либо ограничиться помещением в личное дело работника выписок, копий документов и т.п., отражающих сведения о поступившем запросе и результатах его рассмотрения. Учет передачи персональных данных разрешается не производить при передаче их в случаях, установленных законом, а также при внутренних передачах, которые осуществляются в соответствии с настоящим Положением.

2.6. Общедоступные персональные данные.

2.6.1. К общедоступным источникам персональных данных в организации относятся:

- информация о должностных лицах, размещаемая в средствах массовой информации;

- информация, размещаемая на сайте в информационно-телекоммуникационной сети «Интернет».

2.6.2. Обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационной сети «Интернет» или предоставление доступа к персональным данным каким-либо иным способом производится в объеме, согласованном с работником, и с его письменного согласия.

2.6.3. Уполномоченным лицам Адвокатской палаты Республики Башкортостан запрещается предоставлять сведения о работниках для общедоступных источников персональных данных.

2.7. Обязанности лиц, ответственных за обработку персональных данных.

Работники Адвокатской палаты Республики Башкортостан, ответственные за обработку персональных данных, обязаны:

- знать и выполнять требования настоящего Положения;

- осуществлять обработку персональных данных в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации для исполнения работником должностных обязанностей;

- получать персональные данные лично у субъекта, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъект заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;

- знакомиться только с теми персональными данными, к которым предоставлен доступ;

- хранить в тайне известные им сведения о персональных данных, информировать своего непосредственного начальника о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;

- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

- выполнять требования по защите полученных персональных данных;

- соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;

- предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения.

3. Защита персональных данных

3.1. Уполномоченные лица Адвокатской палаты Республики Башкортостан обеспечивают конфиденциальность (защиту) персональных данных ограниченного доступа.

3.2. Защита персональных данных осуществляется выполнением комплекса организационных, организационно-технических и программных мер, определенных в Правилах обработки, хранения и уничтожения персональных данных Адвокатской палаты Республики Башкортостан.

3.3. Допуск уполномоченных лиц к персональным данным осуществляется в соответствии с приказом «Об организации мероприятий по защите персональных данных».

3.4. Доступ к документам, содержащим персональные данные ограниченного доступа без специального разрешения, имеют работники, занимающие следующие должности:

- президент Адвокатской палаты Республики Башкортостан;

- вице-президенты Адвокатской палаты Республики Башкортостан;

- начальник отдела кадров;

- главный бухгалтер;

- помощник президента по общим вопросам;

- главный специалист отдела кадров;

- ведущий специалист отдела кадров;

- специалист отдела кадров – заведующий канцелярией;

- бухгалтер-кассир.

3.5. Доступ к документам, содержащим персональные данные ограниченного доступа, без специального разрешения, с ознакомлением в присутствии работников, ответственных за их обработку, имеют члены Совета Адвокатской палаты Республики Башкортостан, члены Квалификационной комиссии Адвокатской палаты Республики Башкортостан в отношении персональных данных субъектов, необходимых им для выполнения своих функций.

3.6. Помещения для работы с персональными данными.

3.6.1. Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.

3.6.2. Документы, содержащие персональные данные, должны храниться в надежно запираемых хранилищах. Допускается хранение документов в не закрывающихся шкафах при условии, что бесконтрольный доступ посторонних лиц к данным хранилищам исключен.

3.6.3. По окончании рабочего времени помещения, предназначенные для обработки персональных данных, а также шкафы (ящики, хранилища) должны быть закрыты на ключ.

4. Права субъектов на защиту своих персональных данных

В целях обеспечения защиты своих персональных данных субъекты имеют право:

- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (работник при отказе руководителя организации или уполномоченного им лица исключить или исправить персональные данные имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие, персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);

- требовать от президента Адвокатской палаты Республики Башкортостан или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;

- обжаловать в суде любые неправомерные действия или бездействие президента Адвокатской палаты Республики Башкортостан или уполномоченного им лица при обработке и защите персональных данных;

- вносить предложения по мерам защиты своих персональных данных.

5. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

5.1. Уполномоченные лица несут ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.

5.2. Лица, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.

5.3. Обязательства о неразглашении сведений остаются в силе и после окончания работы с персональными данными вышеуказанных лиц.

5.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

6. Контроль за выполнением требований настоящего Положения

6.1. Повседневный контроль за порядком обращения с персональными данными осуществляют уполномоченные лица Адвокатской палаты Республики Башкортостан.

6.2. Периодический контроль за выполнением настоящего Положения возлагается на ответственного по защите информации в Адвокатской палате Республики Башкортостан.