ПОЛОЖЕНИЕ
г. Владимир
о политике РИГАУ «Газета «Владимирские ведомости»
в отношении обработки персональных данных
1. Общие положения
1.1. Редакционно-издательское государственное автономное учреждение Владимирской области «Газета «Владимирские ведомости» (РИГАУ «Газета «Владимирские ведомости») (далее - Учреждение), выполняя требования Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», публикует в свободном доступе настоящую политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных.
1.2. Политика в отношении обработки персональных данных в РИГАУ «Газета «Владимирские ведомости» (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, права субъектов персональных данных, а также содержит сведения о реализуемых в Учреждении требованиях к защите персональных данных.
1.3. Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Учреждении, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в Учреждении с учетом положений Политики.
1.5. Основные понятия.
1.5.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу – субъекту персональных данных.
1.5.2. Оператор персональных данных, оператор – РИГАУ «Газета «Владимирские ведомости», самостоятельно или совместно с другими лицами организующее или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия и операции, совершаемые с персональными данными.
1.5.3. Обработка персональных данных – любое действие, операция или совокупность действий, операций с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение, обновление или изменение, извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.
1.5.4. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
1.5.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.5.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.5.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.5.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.5.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.5.10. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.5.11. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.6. Субъекты персональных данных имеют право:
1.6.1. На полную информацию о персональных данных и их обработке.
1.6.2. На доступ к своим персональным данным.
1.6.3. На предоставление сведений о наличии персональных данных в доступной форме.
1.6.4. Требовать от оператора немедленно прекратить обработку его персональных данных, в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (если оператор не докажет, что такое согласие было получено).
1.6.5. Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
1.6.6. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
2. Цели сбора персональных данных
2.1. Учреждение обрабатывает персональные данные сотрудников с целью соблюдения требования закона и исключительно в целях трудоустройства, оформления трудовых отношений, получения сотрудниками образования и продвижения по службе, контроля количества и качества выполняемой работы, обеспечения безопасности сотрудников и сохранности имущества.
Любые сведения личного характера – о судимости, состоянии здоровья, составе семьи, наличии несовершеннолетних детей и иждивенцев и т. д. – Учреждение обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по закону и локальным нормативным актам Учреждения.
2.2. Персональные данные обрабатываются в Учреждении также в целях:
— обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации;
— подготовки, заключения, исполнения и прекращения договоров с контрагентами (физические, юридические лица);
— подготовки, заключения, исполнения и прекращения гражданских договоров с гражданами;
— исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
— осуществления прав и законных интересов Учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Учреждения;
— в иных законных целях.
3. Правовые основания обработки персональных данных
3.1. Учреждение обрабатывает персональные данные сотрудников в соответствии с:
3.1.1. Трудовым кодексом РФ, другими федеральными законами и подзаконными нормативными актами, содержащими нормы трудового права.
3.1.2. Нормативными актами о воинском учете.
3.1.3. Уставом.
3.1.4. Трудовыми договорами, договорами о материальной ответственности, ученическими договорами, которые Учреждение заключает с работниками.
3.1.5. Согласием на обработку персональных данных.
3.1.6. Обязательством о неразглашении конфиденциальной информации.
3.1.7. Согласием на общедоступность персональных данных.
3.1.8. Договорами на обработку и хранение персональных данных работников учреждения, контрагентов учреждения.
4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
4.1. Объем персональных данных, обрабатываемых в Учреждении, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Учреждения с целью обработки персональных данных, указанных в разделе 2 Политики .
4.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной и частной жизни, судимости, состоянии здоровья, когда это не связано с выполнением должностных обязанностей, в Учреждении не осуществляется.
4.3. Учреждение обрабатывает персональные данные следующих субъектов персональных данных:
4.3.1. Работников, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников.
4.3.2. Клиентов и контрагентов – физических лиц.
4.3.3. Представителей или работников, клиентов и контрагентов – юридических лиц.
4.3.4. Граждан, выполняющих работу по гражданским договорам.
4.4. Конфиденциальная информация о работниках и бывших работниках:
- фамилия, имя, отчество, возраст, дата рождения;
- паспортные данные;
- образование, специальность, квалификация, трудовой стаж, опыт работы;
- повышение квалификации, профессиональная переподготовка, независимая оценка квалификации, аттестация;
- занимаемая должность или выполняемая работа;
- сведения о воинском учете;
- социальные гарантии и льготы и основания для них;
- состояние здоровья работника, результаты медицинского обследования, психиатрического освидетельствования;
- адрес места жительства, номер телефона;
- другие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.
4.5. Конфиденциальная информация о семейном положении сотрудников и членов их семей:
- о наличии детей и иждивенцев;
- состоянии здоровья членов семьи;
- необходимости ухода за больным членом семьи;
- усыновлении и удочерении;
- иных фактах, на основании которых работникам по закону и локальным актам Учреждения должны быть предоставлены гарантии и компенсации.
5. Порядок и условия обработки персональных данных
5.1. Учреждении при осуществлении обработки персональных данных:
— принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Учреждения в области персональных данных;
— принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
— назначает лицо, ответственное за сбор, обработку и хранение персональных данных в Учреждении;
— издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Учреждении;
— осуществляет ознакомление работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Учреждения в области персональных данных, в том числе с требованиями к защите персональных данных.
5.2. В учреждении организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
5.3. Доступ к персональным данным в Учреждении имеют только те специалисты, кому это необходимо для исполнения должностных обязанностей. Сотрудники, получающие доступ к персональным данным, назначаются приказом главного редактора Учреждения.
Права, обязанности и ответственность сотрудников, обрабатывающих персональные данные в Учреждении, закрепляются в договорах на обработку и хранение персональных данных и договорах на сбор, обработку и хранение персональных данных. Они дают отдельное письменное обязательство о неразглашении и передаче информации, содержащей персональные данные, в т. ч. в течение года после прекращении права на доступ к информации, содержащей персональные данные.
За нарушение правил обработки и хранения персональных данных, ставших им известным по работе, сотрудники привлекаются к дисциплинарной ответственности вплоть до увольнения.
5.4. Все персональные данные Учреждение получает только у субъекта персональных данных. В случае, когда персональные данные можно получить только у третьих лиц, это делается исключительно с письменного согласия субъекта.
5.5. В случаях, предусмотренных законом, Учреждение обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях Учреждение предлагает субъекту оформить персональное и конкретное письменное согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку сведений.
5.6. Учреждение хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
Учреждение прекращает обработку персональных данных и уничтожает их если:
— гражданин отозвал согласие на обработку или истек срок его действия;
— Учреждение достигло цели обработки информации;
— обработка сведений была неправомерной.
Исключения:
— персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
— кандидат на работу желает остаться в кадровом резерве.
5.7. Учреждение передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законом.
6. Актуализация, исправление, удаление и уничтожение персональных данных.
Ответы на запросы субъектов на доступ к персональным данным
6.1. Учреждение при обращении или по запросу субъекта персональных данных либо его представителя и представления фактов о неполных, устаревших данных или незаконно полученных персональных данных Учреждение обязано внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.
6.2. По запросу Роскомнадзора Учреждение блокирует неправомерно обрабатываемые персональные данные субъекта с момента его обращения или получения запроса на период проверки.
6.3. Учреждение на основании сведений, представленных субъектом персональных данных или его представителем, либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
6.4. В случае выявления неправомерной обработки персональных данных Учреждение в срок, не превышающий трех рабочих дней, прекращает неправомерную обработку персональных данных.
6.5. В случае достижения цели обработки персональных данных Учреждение прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
6.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Учреждение прекращает их обработку в срок, не превышающий тридцати дней с даты поступления отзыва.
6.7. Учреждение сообщает субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя Учреждение знакомит его с этими персональными данными в течение тридцати дней с даты получения запроса.
6.8. В случае уничтожения персональных данных Учреждение создает для этого специальную комиссию.