Положение об обработке и защите персональных данных благополучателей МОБО «ВНЛ»

ПОЛОЖЕНИЕ
об обработке и защите персональных данных благополучателей
МОБО «ВНЛ»

1. Общие положения

1.1 Настоящее Положение об обработке и защите персональных данных благополучателей (далее Положение) МОБО «Вера, Надежда, Любовь» (далее Организация) устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным благополучателей организации, а также устанавливает ответственность членов и сотрудников, имеющих доступ к персональным данным благополучателей Организации, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. Под благополучателями подразумеваются лица, заключившие договор о безвозмездной помощи с организацией.

1.2.Цель настоящего Положения — защита персональных данных благополучателей организации от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3 Настоящее Положение и изменения к нему утверждаются председателем и вводятся приказом. Все работники организации должны быть ознакомлены под роспись с данным Положением и изменениями к нему.

1.4 Положение обязательно для исполнения всеми работниками организации, внешними совместителями и лицами, являющимися стороной по договору гражданско-правового характера или договору об оказании услуг, участвующими в процессе обработки и обеспечении безопасности персональных данных в организации.

1.5 Персональные данные могут обрабатываться только для целей, непосредственно связанных с реализацией благотворительных программ, в частности для оказания безвозмездных услуг. МОБО «ВНЛ» собирает данные только в объеме, необходимом для достижения названных целей.

1.6 Сбор, хранение, использование и распространение, в том числе передача третьим лицам, персональных данных без письменного его согласия не допускаются.

1.7 Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

1.8 Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

1.9 Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

2. Понятие, состав принципы обработки персональных данных благополучателя

2.1 Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия и другая информация.

2.2 К персональным данным благополучателей, которые обрабатывает Организация относятся:

1. Номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе
2. Дата рождения;
3. Пол;
4. Адрес регистрации, фактическое место пребывания/проживания
5. Контактный телефон
6. Гражданство
7. Правовое положение в РФ для ИГ, ЛБГ
8. Сведения о предыдущем месте жительства
9. Сведения о трудовом и общем стаже
10. Сведения о доходах
11. Сведения о несовершеннолетних членах семьи в полном объеме сведений, указанных по заявителю
12. Установочные данные о факте рождения, заключения/расторжения брака, об установлении отцовства, смерти
13. Сведения о социальных льготах
14. Сведения о расовой и национальной принадлежности, религиозных убеждениях
15. Сведения о состоянии здоровья

2.3 Перечень действий с персональными данными, которые могут осуществляться организацией при обработке персональных данных благополучателей:

• сбор;
• запись;
• систематизация;
• хранение;
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

2.4. Обработка персональных данных должна осуществляться на основе принципов:

• законности целей и способов обработки персональных данных и добросовестности;
• личной ответственности членов и сотрудников Организации за сохранность и конфиденциальность персональных данных.

2.5 Условия и принципы обработки персональных данных:

2.5.1. Работникам, получившим доступ к персональным данным, обрабатываемым в организации, запрещается раскрывать их работникам организации, не имеющим отношение к обработке персональных данных, а также третьим лицам (не являющимся работниками или внешними совместителями организации) и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.

2.5.2 Обработка персональных данных в организации осуществляется только с соблюдением следующих условий:

• после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ;
• после принятия необходимых мер по защите персональных данных.

2.5.3 Содержание, объем и способы обработки персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.5.4 При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки персональных данных. Необходимо принимать меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

3. Обязанности Организации

3.1. В целях обеспечения прав и свобод человека и гражданина Организация при обработке персональных данных благополучателя обязано соблюдать следующие общие требования:

• обработка персональных данных благополучателей может осуществляться исключительно в целях оказания безвозмездных услуг, определяемых реализуемыми программами;
• персональные данные благополучателя следует получать у него самого или у третьих лиц по письменному согласию благополучателя;
• хранение и защита персональных данных благополучателя от неправомерного их использования или утраты должна быть обеспечена Организацией за счет собственных средств в порядке, установленном законодательством;
• режим хранения персональных данных сохраняется в течение 1 года;
• в случае отзыва благополучателем согласия на обработку своих персональных данных Организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней.

4. Права благополучателя

4.1. Право на доступ к информации о самом себе.
4.2. Право на отзыв согласия на обработку персональных данных.
4.3. Право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.
4.4. Право требовать изменение, уточнение, уничтожение информации о самом себе.
4.5. Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.

5. Сбор, обработка и хранение персональных данных

5.1. Все персональные данные благополучателя следует получать после предоставления им письменного согласия. Письменное согласие включает в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• цель обработки персональных данных;
• порядок отзыва согласия.

5.2. К обработке, передаче и хранению персональных данных благополучателя могут иметь только то лицо, которое осуществляет обработку ПД в соответствии с договором и доступом в рамках своих обязанностей.С благополучателей взимается согласие на обработку персональных данных при заключении договора о предоставлении безвозмездной помощи ( приложение ___)

5.3. При передаче персональных данных благополучателя Организации должна соблюдать следующие требования:

• не сообщать персональные данные соискателя третьей стороне без его письменного согласия;
• предупредить лиц, получающих персональные данные благополучателя о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.4 Если организация поручает обработку персональных данных с согласия субъекта персональных данных другому лицу, в данном договоре в обязательном порядке должны быть определены:

• перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку Пдн;
• цели обработки;
• должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с  законодательством Российской Федерации в области защиты персональных данных.

Ответственность за действия лица, которое обрабатывает персональные данные по поручению, несет организация. Лицо, которое обрабатывает персональные данные по поручению, несет ответственность перед организацией.

5.5 Лица, получающие персональные данные соискателя, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.

6. Доступ к персональным данным благополучателя

6.1. Внутренний доступ (доступ внутри организации).

Право доступа к персональным данным благополучателя имеют:

• члены организации;
• сотрудники организации.

6.2. Внешний доступ

6.2.1. Персональные данные благополучателя могут быть предоставлены третьим лицам только с письменного согласия благополучателя.

6.2.2. Доступ благополучателя к своим персональным данным предоставляется при обращении. Сведения о наличии персональных данных должны быть предоставлены благополучателя, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

7. Прекращение обработки и уничтожение персональных данных

7.1 Прекращение обработки и при необходимости уничтожение персональных данных осуществляется в следующих случаях с соблюдением требований законодательства РФ:

истечение определенного срока хранения и обработки персональных данных;
достижение или утрата необходимости в достижении цели обработки персональных данных;
отзыв субъектом персональных данных (или его представителя) согласия на обработку своих персональных данных (при отсутствии других законных оснований на обработку ПДн);
выявление недостоверных персональных данных или неправомерной обработки персональных данных;
истечение срока или прекращения действия договора с субъектом ПДн, в соответствии с которым осуществляется обработка и хранение персональных данных.

7.2. Организация незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные, если иное не предусмотрено законодательством РФ, в течение тридцати рабочих дней с момента наступления следующих случаев:
достижение целей обработки персональных данных,
отзыв субъектом персональных данных или его представителем согласия на обработку своих персональных данных.

7.3. В случае выявления неправомерной обработки персональных данных в течение трех рабочих дней с даты такого выявления прекращает обработку этих данных. В случае невозможности устранения допущенных нарушений Организация проводит уничтожение персональных данных в течение десяти рабочих дней с даты выявления неправомерной обработки персональных данных, и уведомляет об этом субъекта персональных данных (или его представителя) или уполномоченного органа по защите прав субъектов.

7.4. В случае невозможности уничтожения персональных данных в течение указанного срока Организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более чем в шесть месяцев, если иной срок не установлен федеральными законами.

7.5. В случае истечения срока или прекращения действия договора с субъектом ПДн, в соответствии с которым осуществляется обработка персональных данных, прекращение обработки и уничтожение персональных данных осуществляется в соответствии с положениями соответствующего договора с учетом требований законодательства РФ.

7.6. Организация обязана уничтожить персональные данные субъекта персональных данных в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных от (или его представителя) или уполномоченного органа по защите прав субъектов персональных данных о прекращении обработки персональных данных.
7.7. Уничтожение персональных данных должно быть выполнено необратимым (не позволяющим восстановить данные впоследствии) способом.

8. Защита персональных данных благополучателя

8.1 В целях обеспечения сохранности и конфиденциальности персональных данных благополучателей должны соблюдаться положения Частной модели мер по противодействию угрозам ИСПДн МОБО «ВНЛ», Порядка обработки персональных данных без использования средств автоматизации, инструкции операторов обработки ПД.

• Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
• Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
• Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.

8.2. «Внутренняя защита».
Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий операторов ПД. Для защиты персональных данных благополучателей МОБО «ВНЛ» необходимо соблюдать ряд мер:

• ограничение и регламентация состава членов и сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
• строгое избирательное и обоснованное распределение документов и информации между членами и сотрудниками;
• рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
• знание членами сотрудниками требований нормативно — методических документов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• организация порядка уничтожения информации;
• разъяснительная работа с членами и сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• персональные компьютеры, на которых содержатся персональные данные, должны быть защищены паролями доступа.

8.3. «Внешняя защита»

• Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
• Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности организации, посетители, сотрудники других организационных структур.
• Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в организации.

Для защиты персональных данных благополучателей необходимо соблюдать порядок приема, учета и контроля деятельности посетителей, требования к защите информации при интервьюировании и собеседованиях.

9. Ответственность за разглашение персональных данных и нарушение

9.1. Члены и сотрудники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Приложения:

• Договор безвозмездного оказания услуг МОБО «ВНЛ»
• Договор безвозмездного оказания услуг МП МОБО «ВНЛ»
• Согласие на обработку персональных данных МОБО «ВНЛ»
• Согласие на обработку персональных данных МП МОБО «ВНЛ»
• Согласие на получение персональных данных от третьих лиц МОБО «ВНЛ»
• Согласие на получение персональных данных от третьих лиц МП МОБО «ВНЛ»
• Обязательство работника о неразглашении информации, содержащей персональные данные
• Обязательство контрагента о неразглашении информации, содержащей персональные данные