Приложение

к распоряжению ФНПР

от 21.12.2022 № 199

I. Общие положения

1. Настоящая Политика Федерации Независимых Профсоюзов России²
в отношении обработки персональных данных разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»³ и действует в отношении всех персональных данных, которые ФНПР и Негосударственное учреждение «Аппарат Федерации Независимых Профсоюзов России»⁴ получают от субъектов персональных данных.

2. Действие настоящей Политики распространяется на ФНПР и Аппарат ФНПР.

3. Полномочия оператора персональных данных от имени ФНПР осуществляются Аппаратом ФНПР.

4. Обработка персональных данных осуществляется в соответствии с:

Трудовым кодексом Российской Федерации;

Федеральным законом о персональных данных;

Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказом Роскомнадзора от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

Приказом Роскомнадзора от 24 февраля 2021 года №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;

Приказом Росархива от 20 декабря 2019 года № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;

другими подзаконными нормативными правовыми актами в области обработки и защиты персональных данных;

Положением о работе с обращениями граждан в ФНПР и ее членских организациях, утвержденным постановлением Исполнительного комитета ФНПР от 29.01.2008 № 1-17;

локальными нормативными актами;

договорами, заключаемыми между организациями ФНПР и субъектами персональных данных;

соглашениями по информационному взаимодействию;

соглашениями о конфиденциальности;

согласиями на обработку персональных данных.

5. Обработка персональных данных осуществляется в целях:

выполнения функций, полномочий и обязанностей, возложенных на ФНПР в соответствии с ее уставом;

обеспечения соблюдения федеральных законов и иных нормативных правовых актов Российской Федерации;

заключения и исполнения договоров в рамках трудовых и гражданско-правовых отношений.

6. Контроль за исполнением требований Политики осуществляется уполномоченными лицами, ответственными за организацию обработки персональных данных.

II. Категории субъектов, персональные данные которых обрабатываются

7. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Категории субъектов персональных данных, персональные данные которых обрабатываются в ФНПР и Аппарате ФНПР:

работники и бывшие работники ФНПР и Аппарата ФНПР;

кандидаты на замещение вакантных должностей в ФНПР и Аппарате ФНПР;

физические лица, являющиеся стороной гражданско-правовых договоров, или представителями/работниками юридических лиц - стороны гражданско-правовых договоров, заключаемых (заключенных) с ФНПР или Аппаратом ФНПР;

физические лица (их представители), обратившиеся в ФНПР, Аппарат ФНПР в письменной форме или в форме электронного документа за консультацией, с предложением, заявлением или жалобой;

другие физические лица, необходимость обработки персональных данных которых обусловлена выполнением уставных целей и задач ФНПР, Аппарата ФНПР.

III. Принципы и условия обработки персональных данных

8. Обработка персональных данных осуществляется на основе принципов:

законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

соответствия объема и характера обрабатываемых персональных данных целям обработки персональных данных;

достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

уничтожения персональных данных либо их обезличивания по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.

9. Условия обработки персональных данных:

доступ к персональным данным имеют работники ФНПР и Аппарата ФНПР, которым это необходимо для исполнения должностных обязанностей;

перечень лиц, имеющих доступ к персональным данным, утверждается локальными нормативными актами;

помещения, в которых обрабатываются персональные данные, должны быть оборудованы в соответствии с требованиями законодательства Российской Федерации и обеспечивать необходимый уровень защищенности персональных данных, а также исключать риск несанкционированного доступа с целью хищения или неправомерного использования персональных данных;

для приема посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным.

IV. Права и обязанности

10. Обязанности оператора персональных данных:

организовывать обработку персональных данных в соответствии с требованиями Федерального закона о персональных данных;

обеспечивать защиту персональных данных от их неправомерного использования или утраты;

получать персональные данные только у субъекта персональных данных;

в случаях, когда персональные данные субъекта можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;

своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных и их законных представителей, а именно:

сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставлять возможность ознакомления с этими персональными данными;

в случае отказа при обращении субъекта персональных данных или его представителя в предоставлении субъекту персональных данных его персональных данных или информации о наличии в ФНПР или Аппарате ФНПР его персональных данных давать в письменной форме мотивированный ответ, содержащий ссылку на положение Федерального закона о персональных данных, являющееся основанием для такого отказа;

предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым персональные данные этого субъекта были переданы;

устранять нарушения законодательства, допущенные при обработке персональных данных;

уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2 - 6 статьи 21 Федерального закона о персональных данных.

11. Права оператора персональных данных:

принимать локальные нормативные правовые акты в развитие настоящей Политики;

предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;

отказывать в предоставлении персональных данных в случаях, предусмотренных частью 6 статьи 14 и частью 2 статьи 20 Федерального закона о персональных данных;

привлекать к дисциплинарной ответственности работников, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

12. Права субъекта персональных данных:

получать информацию, касающуюся обработки его персональных данных, в том числе и об источниках их получения;

требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки;

требовать оповещения всех лиц, которым ранее были сообщены недостоверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие оператора персональных данных при обработке его персональных данных;

отзывать свое согласие на обработку персональных данных;

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

V. Порядок обработки персональных данных

13. Обработка персональных данных включает в себя следующие действия:

сбор;

запись;

систематизацию;

накопление;

хранение;

уточнение (обновление, изменение);

извлечение;

использование;

передачу (распространение, предоставление, доступ);

обезличивание;

блокирование;

удаление;

уничтожение персональных данных.

14. Обработка персональных данных субъектов персональных данных осуществляется как на бумажных носителях, так и с использованием средств автоматизации (с помощью средств вычислительной техники) путем:

получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы на бумажных и электронных носителях;

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в информационные системы.

15. Сбор, запись, систематизация, накопление (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.

16. Обработка персональных данных при рассмотрении обращений граждан, направленных в ФНПР и Аппарат ФНПР в письменной форме или в форме электронного документа, осуществляется в соответствии с законодательством о порядке рассмотрения обращений граждан Российской Федерации.

17. ФНПР и Аппарат ФНПР имеют право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные.

18. При передаче персональных данных субъекта персональных данных работники ФНПР и Аппарата ФНПР, осуществляющие обработку персональных данных, должны соблюдать следующие требования:

соблюдать режим конфиденциальности;

не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных Федеральным законом о персональных данных;

не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено;

разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным соответствующим локальным правовым актом, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работниками трудовой функции;

передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.

19. Передача ФНПР и Аппаратом ФНПР персональных данных третьим лицам может допускаться только в случаях, установленных Федеральным законом о персональных данных.

20. ФНПР и Аппарат ФНПР при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора инициируют блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки.

21. В случае выявления неправомерной обработки персональных данных, в срок, не превышающий трех рабочих дней с даты этого выявления, в ФНПР и/или в Аппарате ФНПР должна быть прекращена неправомерная обработка персональных данных.

22. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.

23. Уточнение персональных данных на основании сведений, предоставленных субъектом персональных данных или его представителем, осуществляется в течение семи рабочих дней со дня предоставления информации.

24. По достижении цели обработки персональных данных в ФНПР и Аппарате ФНПР обработка персональных данных прекращается и эти персональные данные уничтожаются, за исключением случаев, предусмотренных законодательством Российской Федерации.

25. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в ФНПР и Аппарате ФНПР обработка прекращается в срок, не превышающий тридцати дней с даты поступления отзыва.

26. При сборе, обработке и хранении персональных данных хранение и защита персональных данных как на бумажных, так и на электронных (автоматизированных) носителях информации осуществляется в порядке, исключающем их утрату или их неправомерное использование.

VI. Защита персональных данных

27. При обработке персональных данных в ФНПР и Аппарате ФНПР принимаются необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.

VII. Заключительные положения

28. Настоящая Политика является общедоступным документом ФНПР, действие которого распространяется на отношения по обработке персональных данных, возникшие как до, так и после утверждения настоящей Политики и подлежит опубликованию на официальном сайте ФНПР.

29. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.

30. Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено федеральным законом.

31. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.

32. Правила обработки персональных данных на официальном сайте ФНПР, а также сведения о требованиях, реализуемых на данном сайте к защите персональных данных, дополнительно определяется Соглашением о пользовании официальным сайтом ФНПР и не должны противоречить настоящей Политике.