Примерная форма положения об обработке и защите персональных данных иных физических лиц, с которыми оператор взаимодействует (клиентов, посетителей, обучающихся, пациентов, абонентов и других), и их законных представителей (подготовлено экспертами компании "Гарант")

ГАРАНТ:

Настоящая форма разработана в соответствии с п. 5 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

[организационно-правовая форма,
наименование юридического лица]

Утверждаю

[должность, подпись, Ф. И. О.
руководителя или иного должностного
лица, уполномоченного утверждать
положение]

[число, месяц, год]

М. П.

Положение
об обработке и защите персональных данных иных физических лиц, с которыми оператор взаимодействует (клиентов, посетителей, обучающихся, пациентов, абонентов и других), и их законных представителей

[наименование юридического лица]

1. Общие положения

1.1. Настоящее положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), иными нормативно-правовыми актами в области обработки и защиты персональных данных, действующими на территории Российской Федерации.

1.2. Настоящим положением устанавливается порядок сбора, систематизации, накопления, хранения, уточнения, извлечения, использования, передачи, обезличивания, блокирования, удаления, уничтожения персональных данных физических лиц, являющихся клиентами [наименование юридического лица] (далее соответственно - субъекты персональных данных, субъекты, оператор персональных данных, оператор).

1.3. Настоящее положение имеет своей целью закрепление механизмов обеспечения прав субъекта персональных данных на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.4. Основные понятия, используемые в настоящем положении:

оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.5. К персональным данным субъекта относятся:

- анкетные данные (фамилия, имя, отчество, число, месяц, год рождения и др.);

- паспортные данные;

- адрес регистрации;

- адрес места жительства;

- номер телефона;

- сведения, содержащиеся в трудовой книжке;

- сведения, содержащиеся в документах воинского учета;

- сведения об образовании, квалификации или наличии специальных знаний или подготовки;

- сведения о семейном положении;

- сведения о доходах;

- сведения о наличии судимостей;

- сведения о месте работы (учебы);

- сведения о состоянии здоровья;

- сведения о социальных льготах;

- [иные данные, предусмотренные данным положением].

1.6. Все персональные сведения о субъектах оператор персональных данных может получить только от них самих.

Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором.

1.7. В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей.

Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.

1.8. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

1.9. Персональные данные субъектов являются конфиденциальной информацией и не могут быть использованы оператором персональных данных или любым иным лицом в личных целях.

1.10. При определении объема и содержания персональных данных субъектов оператор персональных данных руководствуется настоящим положением, Конституцией Российской Федерации, иными федеральными законами.

1.11. Оператор персональных данных разрабатывает меры защиты персональных данных субъектов.

1.12. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

2. Обработка, хранение и передача персональных данных субъектов

2.1. Обработка персональных данных субъектов осуществляется исключительно в целях [указать цели обработки персональных данных субъектов].

2.2. Обработка персональных данных осуществляется на законной и справедливой основе.

2.3. Обработка персональных данных ограничивается достижением конкретных целей, установленных настоящим положением.

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

2.6. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

2.7. Обработка персональных данных оператором осуществляется как с использованием средств автоматизации, так и без использования таких средств.

2.8. Оператор обрабатывает в информационных системах с использованием средств автоматизации следующие категории персональных данных субъектов, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:

Цель обработки персональных данных: [вписать нужное].

Категория персональных данных	Перечень персональных данных	Категория субъектов	Тип угрозы	Уровень защищенности	Срок обработки	Срок хранения
только общие персональные данные	- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - телефон; - иное.	[указать конкретную категорию/все субъекты]	угрозы [значение] типа	[значение] уровень защищенности	[указать срок]	[указать срок]
общие и специальные персональные данные	- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - телефон; - расовая, национальная принадлежности; - политические взгляды; - религиозные или философские убеждения; - состояние здоровья, интимной жизни; - сведения о судимости; - иное.	[указать конкретную категорию/все субъекты]	угрозы [значение] типа	[значение] уровень защищенности	[указать срок]	[указать срок]
общие и биометрические персональные данные	- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - телефон; - фото; - видео; - отпечатки пальцев; - иное.	[указать конкретную категорию/все субъекты]	угрозы [значение] типа	[значение] уровень защищенности	[указать срок]	[указать срок]
общие, специальные и биометрические персональные данные	- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - телефон; - расовая, национальная принадлежности; - политические взгляды; - религиозные или философские убеждения; - состояние здоровья, интимной жизни; - сведения о судимости; - фото; - видео; - отпечатки пальцев; - иное.	[указать конкретную категорию/все субъекты]	угрозы [значение] типа	[значение] уровень защищенности	[указать срок]	[указать срок]

2.9. При 4-м уровне защищенности персональных данных оператор:

- обеспечивает режим безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечивает сохранность носителей персональных данных;

- утверждает перечень работников, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

- использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

2.10. При 3-м уровне защищенности персональных данных оператор дополнительно к мерам, перечисленным в пункте 2.9 настоящего положения, назначает должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

2.11. При 2-м уровне защищенности персональных данных оператор дополнительно к мерам, перечисленным в пунктах 2.9, 2.10 настоящего положения, ограничивает доступ к содержанию электронного журнала сообщений, за исключением для должностных лиц (работников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

2.12. При 1-м уровне защищенности персональных данных оператор дополнительно к мерам, перечисленным в пунктах 2.9-2.11 настоящего положения:

- обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работника по доступу к персональным данным, содержащимся в информационной системе;

- создает структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возлагает на одно из структурных подразделений функции по обеспечению такой безопасности.

2.13. Оператор обрабатывает без использования средств автоматизации следующие категории персональных данных субъектов, обеспечивает их защиту, которые хранятся на бумажных носителях:

Цель обработки персональных данных: [вписать нужное].

Категория персональных данных	Перечень персональных данных	Категория субъектов	Срок обработки	Срок хранения
только общие персональные данные	- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - телефон; - иное.	[указать конкретную категорию/все субъекты]	[указать срок]	[указать срок]
общие и специальные персональные данные	- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - телефон; - расовая, национальная принадлежности; - политические взгляды; - религиозные или философские убеждения; - состояние здоровья, интимной жизни; - сведения о судимости; - иное.	[указать конкретную категорию/все субъекты]	[указать срок]	[указать срок]
общие и биометрические персональные данные	- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - телефон; - фото; - видео; - отпечатки пальцев; - иное.	[указать конкретную категорию/все субъекты]	[указать срок]	[указать срок]
общие, специальные и биометрические персональные данные	- фамилия, имя, отчество; - год, месяц, дата рождения; - место рождения; - адрес; - семейное положение; - телефон; - расовая, национальная принадлежности; - политические взгляды; - религиозные или философские убеждения; - состояние здоровья, интимной жизни; - сведения о судимости; - фото; - видео; - отпечатки пальцев; - иное.	[указать конкретную категорию/все субъекты]	[указать срок]	[указать срок]

2.14. Оператор при обработке персональных данных субъектов на бумажных носителях в целях обеспечения их защиты:

- назначает должностное лицо (работника), ответственного за обработку персональных данных;

- ограничивает допуск в помещения, в которых хранятся документы, содержащие персональные данные субъектов.

2.15. В целях обеспечения конфиденциальности документы, содержащие персональные данные субъектов, оформляются, ведутся и хранятся только [указать категории работников].

2.16. Работники, допущенные к персональным данным субъектов, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных субъектов не допускаются.

2.17. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

2.18. Персональные данные субъектов на бумажных носителях хранятся в [указать место хранения документов].

2.19. Персональные данные субъектов в электронном виде хранятся в локальной компьютерной сети оператора, в электронных папках и файлах в персональных компьютерах [должность руководителя] и работников, допущенных к обработке персональных данных субъектов.

2.20. Оператор вправе передавать персональные данные субъектов третьим лицам, только если это необходимо в целях предупреждения угрозы их жизни и здоровью, а также в случаях, установленных законодательством.

2.21. При передаче персональных данных субъектов оператор предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц письменного подтверждения соблюдения этого условия.

2.22. Все сведения о передаче персональных данных субъектов учитываются для контроля правомерности использования данной информации лицами, ее получившими.

2.23. Передача информации, содержащей сведения о персональных данных субъектов, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

3. Требования к помещениям, в которых производится обработка персональных данных

3.1. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

3.2. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации.

3.3. Определение уровня специального оборудования помещения осуществляется специально создаваемой комиссией. По результатам определения класса и обследования помещения на предмет его соответствия такому классу составляются акты.

3.4. Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, реализуются дополнительные требования, определяемые методическими документами Федеральной службы безопасности России.

4. Обязанности оператора по хранению и защите персональных данных субъектов

4.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.2. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4.3. Оператор осуществляет передачу персональных данных субъектов только в соответствии с настоящим положением и законодательством Российской Федерации.

4.4. Оператор предоставляет персональные данные субъектов только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим положением и законодательством Российской Федерации.

4.5. Оператор не вправе получать и обрабатывать персональные данные субъектов о их политических, религиозных и иных убеждениях и частной жизни.

4.6. Оператор не вправе предоставлять персональные данные субъектов в коммерческих целях без их письменного согласия.

4.7. Оператор обеспечивает субъектам свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.

4.8. Оператор по требованию субъектов предоставляет им полную информацию о их персональных данных и обработке этих данных.

5. Права субъектов на защиту их персональных данных

5.1. Субъекты в целях обеспечения защиты своих персональных данных, хранящихся у оператора, вправе:

- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;

- определять своих представителей для защиты своих персональных данных;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего положения и законодательства Российской Федерации.

При отказе оператора исключить или исправить персональные данные субъектов субъекты вправе заявить оператору в письменном виде о своем несогласии с соответствующим обоснованием;

- требовать от оператора извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъектов, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2. Если субъекты считают, что оператор осуществляет обработку их персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Порядок уничтожения, блокирования персональных данных

6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения на период проверки.

6.2. В случае выявления неточных персональных данных при обращении субъекта оператор осуществляет блокирование персональных данных, относящихся к этому субъекту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта или третьих лиц.

6.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.4. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.

6.5. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.

6.6. Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъекта персональных данных.

6.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъекта, оператор с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:

- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъекта, и предполагаемом вреде, нанесенном правам субъекта, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

6.8. В случае достижения цели обработки персональных данных оператор прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.

6.9. В случае отзыва субъектом согласия на обработку его персональных данных оператор прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

6.10. В случае обращения субъекта к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных.

Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.11. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.10 настоящего положения, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.12. Оператор уведомляет Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, в порядке, утвержденном приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022 г. N 187.

6.13. Оператор передает в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, информацию о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

6.14. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.

6.15. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.

6.16. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:

- на бумажном носителе - уничтожаются путем [указать способ уничтожения: измельчения в шредере/сжигания и т. п.];

- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

6.17. В случае если обработка персональных данных осуществлялась оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов, является акт об уничтожении персональных данных.

6.18. В случае если обработка персональных данных осуществлялась оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов

7.1. Лица, виновные в нарушении требований Закона о персональных данных и настоящего положения, несут предусмотренную законодательством Российской Федерации ответственность.

7.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

8. Заключительные положения

8.1. Настоящее положение вступает в силу с момента его утверждения.

8.2. Оператор персональных данных обеспечивает неограниченный доступ к настоящему документу.

8.3. Настоящее положение действует в отношении всей информации, которую оператор персональных данных может получить о субъекте персональных данных.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.