Положение о политике ИПБ России в отношении обработки персональных данных

Утверждено
решением Президентского совета
НП «Институт профессиональных
бухгалтеров и аудиторов России»
(протокол № 3/17 от 30 марта 2017 г.)

C изменениями, утвержденными решением
Президентского совета НП «ИПБ России»
(протокол № 11/17 от 21 декабря 2017 г.)

• 1. Общие положения
• 2. Реализуемые меры по обработке персональных данных и требований к их защите
• 3. Порядок обеспечения прав субъекта персональных данных
• 4. Правила обработки персональных данных
• Версия для сохранения и печати

1. Общие положения

1.1. Настоящее Положение о политике в отношении обработки персональных данных (далее — Положение) Некоммерческого партнерства «ИПБ России» разработано в соответствии с подп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и является основополагающим локальным правовым актом, определяющем основные направления деятельности ИПБ России в области обработки и защиты персональных данных, оператором которых является ИПБ России.

1.2. Положение разработано в соответствии с:

• Конституцией Российской Федерации;
• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
• гл. 14 Трудового кодекса РФ;
• постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.3. Положение разработано в целях реализации требований законодательства в области обработки и защиты персональных данных и направлено на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в ИПБ России, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.4. Положение определяет политику, порядок и условия ИПБ России в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.5. Действие настоящего Положения распространяется на отношения по обработке и защите персональных данных, полученных ИПБ России как до, так и после утверждения Положения.

1.6. Под обработкой персональных данных подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных оператором.

1.7. Обработка персональных данных в ИПБ России организована и осуществляется с соблюдением правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением, на принципах:

• законности и справедливости;
• обработки только тех персональных данных, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях не совместимых между собой;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

1.8. Обработка персональных данных осуществляется ИПБ России только с личного согласия субъектов персональных данных.

1.9. ИПБ России принимает необходимые меры по удалению или уточнению неполных или неточных данных, хранению персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

1.10. ИПБ России при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных

1.11. В рамках осуществления уставной деятельности, трудовых отношений, обработки информации, связанной с гражданско-правовыми отношениями ИПБ России, обработки информации, связанной с рассмотрением обращений государственных органов, организаций, юридических и физических лиц в ИПБ России обрабатываются персональные данные:

• физических лиц, имеющих статус действительного члена ИПБ России (далее — членов ИПБ России);
• лиц, состоящих и состоявших в трудовых отношениях с ИПБ России;
• физических лиц в связи с заключением ими гражданско-правовых договоров;
• иных лиц, обращающихся в ИПБ России.

1.12. ИПБ России в соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

• обрабатываемых в соответствии с трудовым законодательством;
• полученных ИПБ России в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются ИПБ России исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
• относящихся к членам ИПБ России, обрабатываемых для достижения законных целей, предусмотренных учредительными документами ИПБ России, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
• обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

1.13. В соответствии с поставленными целями и задачами ответственным за организацию обработки персональных данных в ИПБ России является директор ИПБ России.

1.14. Директор ИПБ России, как лицо, ответственное за организацию обработки персональных данных:

• осуществляет внутренний контроль за соблюдением ИПБ России и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• доводит до сведения работников ИПБ России положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

1.15. В целях информационного обеспечения ИПБ России может создавать общедоступный источник персональных данных — Единый реестр профессиональных бухгалтеров — членов ИПБ России (далее — реестр).

В реестр включаются персональные данные (фамилия, имя, отчество, номер, реестровой записи, номер членского билета ИПБ России, номер, уровень, специализация аттестата профессионального бухгалтера и иные сведения, связанные с членством в ИПБ России), доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта персональных данных при вступлении в члены ИПБ России в целях, определенных Уставом ИПБ России.

Сведения о субъекте персональных данных должны быть в любое время исключены ИПБ России из реестра по заявлению субъекта персональных данных либо по решению Общего собрания членов ИПБ России, либо по решению суда или иных уполномоченных государственных органов.

1.16. ИПБ России обязан опубликовать на официальном сайте или иным образом обеспечить неограниченный доступ к настоящему Положению и сведениям о реализуемых требованиях к защите персональных данных.

1.17. По запросу уполномоченного органа по защите прав субъектов персональных данных ИПБ России обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в течение 30 дней с даты получения указанного запроса.

2. Реализуемые меры по обработке персональных данных и требований к их защите

2.1. При обработке персональных данных ИПБ России применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных, необходимые и достаточные для обеспечения обязанностей, предусмотренных ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2.2. Состав, указанных в п. 2.1 настоящего Положения мер, включая их содержание и выбор средств защиты персональных данных, определяется и утверждается ИПБ России, исходя из требований:

• Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• гл. 14 Трудового кодекса РФ;
• постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2.3. Полномочия, функции и условия допуска работников к персональным данным, порядок взаимодействия с другими структурными подразделениями ИПБ России установлены настоящим Положением и осуществляется с помощью автоматизированной системы распределения полномочий и ограничений.

2.4. Доступ работников ИПБ России к персональным данным, находящимся в информационных системах ИПБ России, предусматривает обязательное прохождение процедуры идентификации.

Работнику ИПБ России, имеющему право осуществлять обработку персональных данных, предоставляются уникальный логин и пароль для доступа к соответствующей автоматизированной системе ИПБ России в установленном порядке, в соответствии с функциями, предусмотренными должностными регламентами ИПБ России.

2.5. Информация может вноситься как в автоматическом режиме — при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме — при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

2.6. Обмен персональными данными при их обработке в информационных системах ИПБ России осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных средств.

2.7. ИПБ России осуществляет обработку персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, и без использования средств автоматизации (персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях, позволяющих осуществлять в соответствии с заданным алгоритмом поиск персональных данных и (или) доступ к ним).

2.8. Обработка персональных данных членов ИПБ России осуществляется с помощью автоматизированной информационной системы «Ведение реестров физических и юридических лиц», разработанной на основании Положения о порядке ведения Единого реестра членов ИПБ России (далее — Положение о реестре).

Положением о реестре устанавливаются требования к способам ведения реестра, определяется содержание реестра, перечень персональных данных, предоставляемых членами ИПБ России, порядок и условия включения, исключения, восстановления записей в реестре, предоставления сведений, содержащихся в реестре.

2.9. Обработка персональных данных работников ИПБ России осуществляется автоматизированными системами «1С: Бухгалтерия предприятия», «1С: Зарплата и управление персоналом».

2.10. «1С: Бухгалтерия предприятия» и «1С: Зарплата и управление персоналом» содержат сведения о персональных данных работников ИПБ России и включают:

• персональный идентификатор;
• фамилию, имя, отчество;
• дату и место рождения
• вид, серию, номер документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства), почтовый адрес;
• контактный телефон;
• ИНН;
• номер страхового свидетельства обязательного пенсионного страхования;
• семейное положение, состав семьи и сведения о близких родственниках;
• сведения о трудовой деятельности;
• сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
• сведения о воинском учете и реквизиты документов воинского учета;
• иные персональные данные, необходимые для формирования и ведения личного дела работника.

2.11. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах ИПБ России, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

• определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах ИПБ России, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
• применение процедур оценки соответствия средств защиты информации;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
• учет машинных носителей персональных данных;
• обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учетом технических требований информационных систем и средств защиты информации;
• обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие соответствующих мер;
• восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональных данных, обрабатываемым в информационных системах ИПБ России, а также обеспечение регистрации и учета всех действий, совершаемых с персональных данных в информационных системах ИПБ России;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

2.12. Обеспечение защиты персональных данных в ИПБ России при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

а. обособления персональных данных от иной информации;

б. недопущения фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы;

в. использования отдельных материальных носителей для обработки каждой категории персональных данных;

г. принятия мер по обеспечению раздельной обработки персональных данных при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных;

д. соблюдения требований к:

• раздельной обработке зафиксированных на одном материальном носителе персональных данных и информации, не относящейся к персональным данным;
• уточнению персональных данных;
• уничтожению или обезличиванию части персональных данных;
• использованию типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных;
• хранению персональных данных, в том числе к обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

2.13. Руководители структурных подразделений ИПБ России, осуществляющих обработку персональных данных, обеспечивают:

• своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Директора ИПБ России, ответственного за организацию обработки персональных данных;
• недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• постоянный контроль за обеспечением уровня защищенности персональных данных;
• соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
• при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
• разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

2.14. Работники ИПБ России, непосредственно осуществляющие обработку персональных данных, принимают все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

2.15. В случае выявления нарушений порядка обработки и хранения персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

3. Порядок обеспечения прав субъекта персональных данных

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.

3.2. ИПБ России и иные лица, получившие доступ к персональным данным (на основании соглашения о сотрудничестве), обеспечивают права субъектов персональных данных и обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.3. Обработка персональных данных осуществляется ИПБ России только с личного согласия субъекта персональных данных в письменной форме.

3.3.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

3.3.2. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт его получения. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия этого представителя проверяются ИПБ России.

Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ч. 1 и ч. 4 ст. 185 Гражданского кодекса РФ, ч. 2 ст. 53 Гражданского процессуального кодекса РФ или удостоверенной нотариально. Копия доверенности представителя хранится в ИПБ России не менее срока хранения персональных данных.

3.3.3. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

3.3.4. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись субъекта персональных данных.

3.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных ИПБ России;
• правовые основания, цели и способы обработки персональных данных, применяемые ИПБ России;
• наименование и место нахождения ИПБ России, сведения о лицах (за исключением работников ИПБ России), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании соглашения о сотрудничестве с ИПБ России или на основании федерального закона;
• перечень обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
• наименование или фамилию, имя, отчество лица, осуществляющего обработку персональных данных по поручению ИПБ России, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

3.5. ИПБ России обязан предоставить субъекту персональных данных по его просьбе информацию, указанную в п. 3.4 настоящего Положения.

3.5.1. Сведения предоставляются субъекту персональных данных в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3.5.2. Сведения предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя.

3.5.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие членство субъекта персональных данных в ИПБ России, либо сведения, иным образом подтверждающие факт обработки персональных данных ИПБ России, подпись субъекта персональных данных или его представителя.

3.5.4. ИПБ России обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.

3.6. Субъект персональных данных вправе требовать от ИПБ России уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.7. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ИПБ России обязан внести в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ИПБ России обязан уничтожить такие персональные данные.

ИПБ России обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.8. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных ИПБ России вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в подп. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В иных случаях по требованию субъекта персональных данных ИПБ России обязан прекратить обработку его персональных данных, известив при этом субъекта персональных данных.

3.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

4. Правила обработки персональных данных

4.1. Обработка персональных данных членов ИПБ России производится для достижения уставных целей ИПБ России, посредством внесения их с использованием средств автоматизации в информационные системы ИПБ России, включения в Единый реестр профессиональных бухгалтеров — членов ИПБ России, картотеки или иные систематизированные собрания, а также списки и другие отчетные формы ИПБ России, позволяющие осуществлять поиск персональных данных и (или) доступ к ним.

4.2. Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в соответствии с поставленными целями и задачами осуществляется структурными подразделениями ИПБ России.

4.3. Директор ИПБ России, как лицо, ответственное за организацию обработки персональных данных, определяет задачи, сроки, условия обработки персональных данных, перечень причастных и ответственных лиц. Руководители структурных подразделений, осуществляющих обработку персональных данных, получают указания непосредственно от директора ИПБ России и подотчетны ему.

4.4. Непосредственный контроль в структурных подразделениях за обеспечением выполнения локальных правовых актов ИПБ России, регулирующих отношения по обработке персональных данных, осуществляют руководители соответствующих структурных подразделений.

4.5. Работники ИПБ России, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства РФ о персональных данных, настоящим Положением, определяющим политику ИПБ России в отношении обработки персональных данных, иными нормативными актами по вопросам обработки персональных данных и изменениями к ним.

4.6. Обязанность по ознакомлению указанных работников и непосредственный контроль в структурных подразделениях за обеспечением выполнения локальных правовых актов ИПБ России, регулирующих отношения по обработке персональных данных, возлагается на руководителей соответствующих структурных подразделений ИПБ России.

4.7. Директор ИПБ России обязан организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых ИПБ России, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

4.8. Директор ИПБ России вправе привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных работников ИПБ России с возложением на них соответствующих обязанностей и закреплением ответственности.

4.9. Руководитель структурного подразделения ИПБ России, осуществляющего обработку персональных данных, имеет доступ к информации, касающейся обработки персональных данных, порученной его подразделению, и включающей:

• цели обработки персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• категории обрабатываемых персональных данных;
• правовые основания обработки персональных данных;
• перечень действий с персональными данными;
• описание используемых ИПБ России способов обработки персональных данных;
• описание мер, предусмотренных ст. 18.1 и ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
• дату начала обработки персональных данных;
• сроки или условия прекращения обработки персональных данных;
• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

4.10. Руководитель структурного подразделения ИПБ России, осуществляющего обработку персональных данных, обеспечивает контроль за порученным его подразделению обработкой, хранением и защитой персональных данных, оказывает содействие директору ИПБ России в устранении выявленных нарушений законодательства Российской Федерации, локальных внутренних документов ИПБ России, а также причин и условий, способствовавших совершению нарушения.

4.11. Работники ИПБ России, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.12. Работники ИПБ России, непосредственно осуществляющие обработку персональных данных, незамедлительно доводят до сведения своего непосредственного руководителя сведения о нарушениях законодательства Российской Федерации, в том числе настоящего Положения, другими работниками ИПБ России или его контрагентами.

4.13. Контроль за исполнением настоящего Положения возложен на директора ИПБ России.

Версия для сохранения и печати (<1 Мб)

Поделиться