×

You are using an outdated browser Internet Explorer. It does not support some functions of the site.

Recommend that you install one of the following browsers: Firefox, Opera or Chrome.

Contacts:

+7 961 270-60-01
ivdon3@bk.ru

▼ Menu
JournalПоложение о защите персональных данных

Приложение № 1
к приказу № 2
от 19.02.2024

Положение

о защите, хранении, обработке и передаче персональных данных авторов статей, представляемых для публикации в сетевое издание Ростовского отделения общероссийской общественной организации «Российская инженерная академия» научный журнал «Инженерный вестник Дона» и работников Ростовского отделения общероссийской общественной организации «Российская инженерная академия»

1. Общие положения

  1. Настоящее положение разработано в соответствии с положениями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и определяет порядок сбора, учета, обработки, накопления, использования, распространения и хранения персональных данных авторов статей, представляемых для публикации в сетевое издание Ростовского отделения общероссийской общественной организации «Российская инженерная академия» научный журнал «Инженерный вестник Дона» (далее авторов статей) и работников Ростовского отделения общероссийской общественной организации «Российская инженерная академия» (далее - организация).
  2. Целью настоящего положения является обеспечение защиты персональных данных авторов статей и работников организации от несанкционированного доступа и разглашения.
  3. В целях настоящего положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
  4. К персональным данным относятся: фамилия, имя, отчество; дата и место рождения; гражданство; сведения о знании иностранных языков; данные об образовании (наименование учебного заведения, год окончания, документ об образовании, квалификация, специальность); профессия; место работы, должность, место учебы, стаж работы (общий, непрерывный, дающий право на выслугу лет); семейное положение; данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения); паспорт (номер, дата выдачи, кем выдан); адрес места жительства (по паспорту, фактический), дата регистрации по месту жительства; номер телефона (домашний, сотовый); сведения о воинском учёте; сведения о состоянии здоровья работника, необходимые работодателю для определения пригодности для выполнения поручаемой работы и предупреждения профессиональных заболеваний, предусмотренные действующим законодательством Российской Федерации; содержание заключенного с работником контракта или трудового договора; сведения об аттестации, повышении квалификации, профессиональной переподготовке работника; сведения об использованных отпусках; сведения об имеющихся наградах (поощрениях), почётных званиях; сведения о номере и серии страхового свидетельства государственного пенсионного страхования; сведения об идентификационном номере налогоплательщика; сведения о социальных льготах (в соответствии с действующим законодательством Российской Федерации); данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения); иные сведения, необходимые работодателю в соответствии с действующим законодательством Российской Федерации в области персональных данных, с помощью которых можно идентифицировать субъекта персональных данных.
  5. Все персональные данные авторов статей и работников организация может получить только от него самого. В случаях когда организация может получить необходимые персональные данные работника только у третьего лица, организация в обязательном порядке уведомляет об этом работника и получает от него письменное согласие.
  6. Организация в обязательном порядке сообщает авторам статей и работнику о целях, способах и источниках получения персональных данных, а также о перечне подлежащих получению персональных данных и возможных последствиях отказа авторов статей и работника дать письменное согласие на их получение.
  7. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в срок, не превышающий 30 дней.
  8. Персональные данные авторов статей и работника являются конфиденциальной информацией и не могут быть использованы организацией или любым иным лицом в личных целях.
  9. При определении объема и содержания персональных данных авторов статей и работника организация руководствуется настоящим положением, Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, иными федеральными законами.
  10. Организация, работник и его представители совместно разрабатывают меры защиты персональных данных работника.
  11. Авторы статей и работник не должны отказываться от своих прав на сохранение и защиту тайны.

2. Обработка персональных данных работников

  1. Обработка организацией персональных данных авторов статей осуществляется с их письменного согласия, которое должно быть конкретным, предметным, информированным, сознательным и однозначным и должно включать в себя: 1) фамилию, имя, отчество, адрес электронной почты субъекта персональных данных; 2) наименование и адрес организации (оператора, получающего согласие субъекта персональных данных); 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных; 7) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 8) подпись субъекта персональных данных.
  2. Обработка организацией персональных данных работника осуществляется с их письменного согласия, которое должно быть конкретным, предметным, информированным, сознательным и однозначным и должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование и адрес организации (оператора, получающего согласие субъекта персональных данных); 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных; 7) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 8) подпись субъекта персональных данных.
  3. Согласие авторов статей и работника на обработку персональных данных не требуется в следующих случаях: - обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на организацию функций, полномочий и обязанностей; - обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; - обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; - обработка персональных данных необходима для осуществления прав и законных интересов организации или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; - обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных; - обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных” и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;
  4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных законодательством РФ.
  5. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина организация при обработке персональных данных авторов статей и работника должны выполнять следующие общие требования:
    1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия авторам статей в публикации их статей в журнале организации, работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
    2. Обработка персональных данных, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состоянии здоровья, интимной жизни) не допускается, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "0 персональных данных" и другими федеральными законами.
    3. Получение и обработка персональных данные авторов статей и работника о их членстве в общественных объединениях или его профсоюзной деятельности не допускается, за исключением случаев, предусмотренных Трудовым Кодексом РФ или иными федеральными законами;
    4. При принятии решений, затрагивающих интересы авторов статей и работника, организация не имеет права основываться на персональных данных, полученных о них исключительно в результате их автоматизированной обработки или электронного получения.
    5. Защита персональных данных авторов статей и работника от неправомерного их использования утраты обеспечивается организацией за счет собственных средств.
    6. Работники и их представители должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
  6. Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 N 152- ФЗ. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

3. Передача персональных данных

  1. При передаче персональных данных авторов статей и работников организация должна соблюдать следующие требования:
    1. Не сообщать персональные данные авторов статей и работников третьей стороне без письменного согласия авторов статей работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
    2. Не сообщать персональные данные авторов статей и работника в коммерческих целях без его письменного согласия.
    3. Предупредить лиц, получивших персональные данные авторов статей и работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные авторов статей и работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными авторов статей и работников в порядке, установленном федеральными законами.
    4. Осуществлять передачу персональных данных авторов статей и работников в пределах организации в соответствии с настоящим Положением.
    5. Разрешать доступ к персональным данным авторов статей только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
    6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
    7. Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
  2. Персональные данные работников обрабатываются и хранятся у сотрудников организации, отвечающих за их учет.
  3. Копирование и получение выписок из персональных данных авторов статей и работника допускается только при наличии письменного разрешения руководителя организации.
  4. Персональные данные авторов статей и работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети, жестких дисков служебных компьютеров.
  5. При получении персональных данных не от авторов статей и работника (за исключением случаев, если персональные данные являются общедоступными) организация до начала обработки таких персональных данных обязана предоставить авторам статей и работнику следующую информацию: - наименование (фамилия, имя, отчество) и адрес оператора или его представителя; - цель обработки персональных данных и ее правовое основание; - предполагаемые пользователи персональных данных; - установленные федеральными законами права субъекта персональных данных.
  6. В случае если лицо, обратившееся с запросом о получении персональных данных, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным авторов статей и работника, организация обязана отказать в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации.

4. Доступ к персональным данным работников

  1. Право доступа к персональным данным авторов статей и работников имеют: а) внутри организации: руководство организации; работники, отвечающие взаимодействие с авторами статей и за кадровый учет; работники бухгалтерии; б) правом внешнего доступа в пределах своей компетенции обладают: - правоохранительные органы; - органы статистики; - страховые агентства; - военкоматы; - Социальный фонд России; - негосударственные пенсионные фонды; - государственные и муниципальные органы; - организации, в которые работник имеет право перечислять денежные средства (страховые компании, благотворительные организации, кредитные учреждения и т.д.) - с его письменного разрешения; - иные организации, при направлении в Институт соответствующего письменного запроса на бланке организации с приложением копии нотариально заверенного заявления работника; - а также родственники и члены семьи работника с его письменного разрешения.
  2. Авторы статей и работник организации имеют право: а) на доступ и ознакомление со своими персональным данными, на получение копии любой записи, содержащей его персональные данные. б) требовать от организации уточнения, блокирования, уничтожения или исправления неполных, неверных, устаревших, неточных, незаконно полученных либо не являющихся необходимыми для организации персональных данных. в) получать от организации: - сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; - перечень обрабатываемых персональных данных и источник их получения; - сроки обработки персональных данных, в том числе сроки их хранения; - сведения о юридических последствиях обработки его персональных данных; - иные сведения, предусмотренные законодательством РФ. г) требовать об извещении организации всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях. д) обжаловать в суд или уполномоченный орган по защите прав субъектов персональных данных неправомерные действия либо бездействие организации при обработке и защите его персональных данных.

5. Защита персональных данных

  1. Внутренняя защита персональных данных авторов статей и работников достигается следующими методами: совершение всех операций по оформлению, ведению и хранению персональных данных только утвержденными работниками организации в соответствии со своими обязанностями, определенными в должностных инструкциях; четкое распределение документов и информации между работниками организации; требование знаний от работников организации нормативно-методических документов по защите персональных данных; наличие необходимых условий в помещении для работы с персональными данными; определение порядка уничтожения персональной информации; своевременное выявление нарушения требований разрешительной системы доступа к персональным данным; обеспечение защиты персональных данных от несанкционированного доступа путем хранения личных дел и документов, содержащих персональные данные работников, в запирающихся шкафах (сейфах); личные дела сотрудников выдаются: руководству организации запрещение передачи информации, содержащей сведения о персональных данных авторов статей и работников по телефону, факсу, электронной почте без письменного согласия авторов статей и работника; выдача ответов на письменные запросы других организаций и учреждений в пределах их компетенции даются в письменной форме на бланке организации и в объеме, позволяющем не разглашать излишние сведения о персональных данных авторов статей и работников.
  2. Все персональные компьютеры, содержащие персональные данные работника, должны быть защищены паролем доступа.
  3. Внешняя защита персональных данных авторов статей и работников осуществляется путем: определения порядка приема, учета и контроля посетителей; выполнения требований по защите информации при интервьюировании и собеседованиях.
  4. Работники организации, связанные с получением, обработкой и хранением персональных данных, обязаны подписать обязательство о неразглашении персональных данных.

6. Порядок уничтожения, блокирования персональных данных

  1. В случае выявления неправомерной обработки персональных данных при обращении авторов статей и работника организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому работнику и авторам статей, с момента такого обращения на период проверки.
  2. В случае выявления неточных персональных данных при обращении авторов статей или работника организация осуществляет блокирование персональных данных, относящихся к этому работнику или авторам статей, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы авторов статей, работника или третьих лиц.
  3. В случае подтверждения факта неточности персональных данных организация на основании сведений, представленных авторами статей или работником, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
  4. В случае выявления неправомерной обработки персональных данных, осуществляемой организацией, организация в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
  5. В случае если обеспечить правомерность обработки персональных данных невозможно, организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
  6. Об устранении допущенных нарушений или об уничтожении персональных данных организация уведомляет авторов статей и работника.
  7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав авторов статей и работника, организация с момента выявления такого инцидента организацией, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
    • в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав авторов статей и работника, и предполагаемом вреде, нанесенном правам авторов статей и работника, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном организацией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
    • в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
  8. В случае достижения цели обработки персональных данных организация прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором.
  9. В случае отзыва авторами статей и работником согласия на обработку его персональных данных работодатель прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено условиями публикации авторов статей и трудовыми отношениями с работниками.
  10. В случае обращения авторов статей или работника в организацию с требованием о прекращении обработки персональных данных организация в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления организацией в адрес авторов статей работника мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
  11. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.10 настоящего положения, организация осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
  12. Организация уведомляет Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав авторов статей или работников, в порядке, утвержденном приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022 г. N 187.
  13. Организация передает в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, информацию о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.
  14. После истечения срока нормативного хранения документов, содержащих персональные данные авторов статей и работника, или при наступлении иных законных оснований документы подлежат уничтожению.
  15. Организация для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
  16. По результатам экспертизы документы, содержащие персональные данные работника и подлежащие уничтожению:
    • на бумажном носителе измельчаются в шредере;
    • в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
  17. В случае если обработка персональных данных осуществлялась организацией без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных работников, является акт об уничтожении персональных данных.
  18. В случае если обработка персональных данных осуществлялась организацией с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных работников, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных авторов статей и работника организации

  1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных авторов статей и работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
  2. Моральный вред, причиненный авторам статей и работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных авторами статей и работником убытков.

8. Заключительные положения

  1. Настоящее положение вступает в силу с момента его утверждения.
  2. Организация обеспечивает неограниченный доступ к настоящему документу.
  3. Настоящее положение доводится до сведения всех работников организации персонально под роспись.