Положение о  защите персональных данных

Владимирское региональное отделение Молодежного Союза Юристов Российской Федерации, именуемое в дальнейшем ВРО МСЮ РФ, осуществляя деятельность в соответствии с Уставом для достижения указанных в Уставе целей и задач, обрабатывает персональные данные в соответствии с требованиями действующего законодательства.
Настоящее Положение разработано для обеспечения сохранности персональных данных на сайте проекта ВРО МСЮ РФ «Защита потребителя» (http://potreb33.ru/) и воспрепятствования незаконного использования таких данных третьими лицами.

1. Общие положения
1.1. Настоящее Положение о порядке хранения и защиты персональных данных (далее – Положение) устанавливает порядок обработки персональных данных: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), блокировка, уничтожение персональных данных, а также определяет цели, задачи и основные мероприятия по обеспечению безопасности персональных данных во ВРО МСЮ РФ от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Положение разработано в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных:

1.2.1. Конституцией Российской   Федерации;

1.2.2. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2.3. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

1.2.4. Федеральным законом № 2300-1 от 07.02.1992 года «О защите прав потребителей»

1.2.5. Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.2.6. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.2.7. Нормативные документы уполномоченных органов.

1.3.  Настоящее Положение действует в отношении всех персональных данных (далее – ПД), полученных, обработанных, подвергшихся блокировке, сохраненных либо подвергшихся законному уничтожению ВРО МСЮ РФ, и распространяется на сотрудников общества, лиц, сотрудничающих с обществом на основании гражданско-правового договора и договора волонтерской деятельности а также на сотрудников сторонних организаций, взаимодействующих с обществом на основании соответствующих нормативных, правовых, и организационно-распорядительных документов, физических лиц, находящихся в гражданско-правовых отношениях с ВРО МСЮ РФ.

1.4. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.5. Целями Положения являются:

– обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

– исключение несанкционированных действий сотрудников ВРО МСЮ РФ (Оператора) и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности представленной субъектами персональных данных Оператору информации; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности субъектов персональных данных.

1.6. Принципы обработки персональных данных:

– обработка персональных данных должна осуществляться на законной и справедливой основе;

– обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

– обработке подлежат только персональные данные, которые отвечают целям их обработки;

– содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

– при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

– хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является субъект персональных данных;

– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

 — положение обязательно для исполнения руководством ВРО МСЮ РФ, руководителями структурных подразделений и работниками (постоянными, по совместительству и временными), волонтерами ВРО МСЮ РФ. Положение распространяется на все внутренние структурные подразделения ВРО МСЮ РФ.

2. Термины и принятые сокращения

2.1 Персональные данные (далее также – ПД) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

2.2. Субъект персональных данных – физические лица, персональные данные которых обрабатываются ВРО МСЮ РФ в процессе осуществления хозяйственной деятельности. Для целей настоящего положения субъектами персональных данных признаются физические лица – сотрудники ВРО МСЮ РФ, физические лица, заключившие с ВРО МСЮ РФ  гражданско-правовые и волонтерские договоры, физические лица – клиенты и контрагенты ВРО МСЮ РФ;

2.3.ВРО МСЮ РФ (Оператор по обработке персональных данных) — юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.5 Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.10. Конфиденциальность персональных данных — обязательное для соблюдения ВРО МСЮ РФ или иным, получившим доступ к персональным данным, лицом (например, Работник ВРО МСЮ РФ) требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.11. Технические средства, позволяющие осуществлять обработку персональных данных — средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, автоматизированная банковская система (везде также — АВС), системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;
2.12. Работники ВРО МСЮ РФ – любые физические лица, заключившие с ВРО МСЮ РФ трудовые или гражданско-правовые договоры;
2.13. Лицо, ответственное за организацию обработки персональных данных (далее – ответственный сотрудник за ПД) – должностное лицо (сотрудник Оператора), ответственное за разработку и осуществление мероприятий по обеспечению безопасности персональных данных при их обработке в ВРО МСЮ РФ. Ответственное лицо назначается приказом Председателя Правления.
2.14. Представитель субъекта персональных данных – лицо, действующее в интересах субъекта персональных данных и представляющее интересы такого субъекта на основании закона или нотариально оформленной доверенности.
 
 3. Обработка персональных данных на сайте http://potreb33.ru/
3.1. Получение ПД

3.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

Согласие на обработку ПД заполняется субъектом ПД лично через автоматизированную форму.

3.1.2. Согласие на обработку ПД считается предоставленным субъектом ПД посредством совершения субъектом ПД следующих конклюдентных действий в совокупности:

-проставление в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед осуществлением регистрации для ознакомления тексте согласия.

Согласие считается полученным с момента такой регистрации при условии ее подтверждения субъектом ПД  в установленном порядке и действует до момента направления субъектом ПД  соответствующего заявления о прекращении обработки персональных данных по месту нахождения Оператора.

В случае отсутствия согласия субъекта ПД на обработку его персональных данных, такая обработка не осуществляется.

3.1.3. К основным ПД, полученным Оператором ПД на сайте для осуществления предусмотренных действующим законодательством и Уставом целей и задач относятся:

Виды персональных данных, получаемых, хранимых, подвергшихся обработке, блокировке, уничтожению на сайте ВРО МСЮ РФ (http://potreb33.ru/):

— фамилия, имя, отчество субъекта ПД,

— адрес нахождения/регистрации  субъекта ПД,

— контактный телефон субъекта ПД,

— электронный адрес субъекта ПД.

3.1.4. Субъект ПД может в любой момент отозвать свое согласие на обработку ПД  при условии, что подобная процедура не нарушает требований законодательства РФ. Для отзыва согласия на обработку ПД, данного в письменной форме,  необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора;

3.1.5. В случае отзыва субъектом ПД  согласия на обработку его ПД, Оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПД более не требуется для целей их обработки, уничтожить ПД  или обеспечить их уничтожение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора)  в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Оператором и субъектом ПД, либо если Оператор не вправе осуществлять обработку ПД  без согласия субъекта ПД данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

3.2. Обработка ПД.      

3.2.1. Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

3.2.2. К субъектам ПД относятся любые физические лица, обратившиеся во ВРО МСЮ РФ на сайте http://potreb33.ru/.

3.2.3. Цели обработки персональных данных:

ВРО МСЮ РФ осуществляет обработку ПД в целях осуществления возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», а также операторами ПД, уставом и локальными актами Общества.

ВРО МСЮ РФ осуществляет обработку персональных данных субъектов персональных данных, в том числе, для реализации следующих уставных задач:

—  организации содействия развитию правовой реформы;

—  организации информационного обслуживания  членов ВРО МСЮ РФ;

— осуществления и реализации задач по оказанию бесплатной юридической помощи потребителям – социально незащищенным категориям населения, в том числе:

1. оказание комплексной юридической помощи социально-незащищенным категориям потребителей;

2.  оказание консультативной помощи в защите потребительских прав жителям Владимирской области;

3.  повышение уровня правовой грамотности в вопросах защиты прав потребителей жителей региона;

3.2.4. ПД, обрабатываемые Оператором:

— данные, полученные от обратившихся за юридической помощью потребителей и заявителей;

— данные иных физических лиц, обратившихся во ВРО МСЮ РФ на сайте http://potreb33.ru/.

3.2.5. Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации путем учета данных посетителей и обратившихся за консультацией либо оказанием юридической помощи заявителей.

3.3. Хранение ПД.

3.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках).

3.3.5. Порядок и сроки хранения ПД в архиве ВРО МСЮ РФ:

— хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

— в случае окончания в соответствии с поставленными целями и задачами использования персональных данных субъектов, персональные данные субъектов хранятся в базах данных Оператора пять лет в соответствии с законодательством РФ.

— по истечении вышеуказанного срока хранения персональных данных субъекта, они уничтожаются способом, приводящим к невозможности их незаконного использования либо разглашения третьими лицами.

3.4. Уничтожение ПД.

3.4.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

3.4.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.4.3. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

ПД на электронных носителях уничтожаются путем стирания информации.

3.4.4. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

3.5. Передача ПД.

3.5.1. Оператор передает ПД третьим лицам в следующих случаях:

– субъект выразил свое согласие на такие действия;

– передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

 4. Защита персональных данных
 4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

4.4. Основными мерами защиты ПД, используемыми Оператором, являются:

4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.

4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.

4.5.3. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.

4.5.4. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

4.5.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

4.5.12. Осуществление внутреннего контроля и аудита.

5. Основные права субъекта ПД и обязанности Оператора
 5.1. Основные права субъекта ПД.

5.1.1 Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.1.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию обосуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

5.1.3 Обращения к оператору и направлению ему запросов;

5.1.4 Обжалование действий или бездействия оператора.

5.2. Обязанности Оператора.

Оператор обязан:

— При сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию о полученных ПД

— в случаях если ПД были получены не от субъекта ПД, уведомить субъекта персональных данных;

— в случае отказа субъекта ПД в предоставлении ПД субъекту разъясняются юридические последствия такого отказа;

— опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД а также от иных неправомерных действий в отношении ПД;

— давать ответы на запросы и обращения Субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

6. Сроки обработки (хранения) ПД
6.1. Сроки обработки (хранения) ПД определяются исходя из целей обработки ПД, в соответствии со сроком действия договора с субъектом ПД, требованиями федеральных законов, требованиями операторов ПД, по поручению которых Общество осуществляет обработку ПД, основными правилами работы архивов организаций, сроками исковой давности.

6.2. ПД, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПД после прекращения их обработки допускается только после их обезличивания.

 5. Ответственность за обеспечение безопасности персональных данных.
 5.1. ВРО МСЮ РФ несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных. Общество закрепляет персональную ответственность работников за соблюдением установленного в Обществе режима конфиденциальности.

5.2 Председатель ВРО МСЮ РФ несет ответственность за соблюдение сохранности и законного использования ВРО МСЮ РФ, в том числе, его членами, сотрудниками и волонтерами персональных данных субъектов персональных данных.

5.3. Каждый член ВРО МСЮ РФ, осуществляющий деятельность на основании трудового, гражданско-правового договора или договора волонтерской деятельности получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

5.4. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

5.5.Общество не несет ответственности за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.

6. Заключительные положения
 6.1. Настоящее Положение является локальным нормативным актом ВРО МСЮ РФ.

6.2. Настоящее Положение может быть пересмотрена в любом из следующих случаев:

­ при изменении законодательства Российской Федерации в области обработки и защиты персональныхданных;

­ в случаях получения предписаний от компетентных государственных органов на устранениенесоответствий, затрагивающих область действия настоящего Положения;

­ при изменении целей и сроков обработки ПД;

­при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);

­ при применении новых технологий обработки и защиты ПД (в т. ч. передачи, хранения);

­ при появлении необходимости в изменении процесса обработки ПД, связанной с деятельностью Общества.

6.3. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.

6.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления субъекта персональных данных. С момента утверждения новой редакции Положения предыдущая редакция считается утратившей свою силу.

6.3. В случае неисполнения положений настоящего Положения Общество и ее работники несут ответственность в соответствии с действующим законодательством Российской Федерации.

6.4. Контроль исполнения требований настоящего Положения осуществляется лицами, ответственными за организацию обработки ПД Общества, а также за безопасность персональных данных.