ПОЛИТИКА
Союза по организации деятельности консультантов по налогам и сборам «Палата налоговых консультантов»
ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. Общие положения
1.1. Политика обработки персональных данных (далее — Политика) разработана в соответствии с Конституцией Российской Федерации, с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Федеральным законом от 27.06.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных».
1.2. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Союзе по организации деятельности консультантов по налогам и сборам «Палата налоговых консультантов» (далее — Оператор) с целью:
— выполнения требований законодательства по определению порядка и защиты ПДн граждан, являющихся сотрудниками, членами, клиентами или контрагентами (далее — субъекты персональных данных) Оператора;
— осуществления прав и законных интересов оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
— в иных законных целях.
1.3. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1 ФЗ -152.
II. Основные понятия в области персональных данных
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных.
2.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.7. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.8. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.10. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.11. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
III. Принципы и условия обработки персональных данных
3.1. Принципы обработки персональных данных.
Обработка персональных данных у Оператора осуществляется на основе следующих принципов:
— законности и справедливости;
— ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
— недопущение обработки персональных данных несовместимой с целями сбора персональных данных;
— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
— обработка только тех персональных данных, которые отвечают целям их обработки;
— соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
— недопущения обработки персональных данных избыточных по отношению к заявленным целям их обработки;
— обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
— уничтожения либо обезличивания персональных данных по достижению целей их обработки или в случае утраты необходимости в достижении этих целей при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено законодательством РФ.
3.2. Условия обработки персональных данных.
Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;
— обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
3.3. Конфиденциальность персональных данных.
Оператор и иные лица, получившие доступ к персональным данным обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
3.4. Общедоступные источники персональных данных.
В целях информационного обеспечения и исполнения требований законодательства РФ и уставных документов организации у Оператора создан общедоступный источник персональных данных субъектов — реестр членов Союза по организации деятельности консультантов по налогам и сборам «Палата налоговых консультантов». В данный реестр на основании требований законодательства и уставных документов организации и с письменного согласия субъекта включаются его фамилия, имя, отчество, номер и сроки действия квалификационного аттестата «Консультант по налогам и сборам».
Реестр членов Союза по организации деятельности консультантов по налогам и сборам «Палата налоговых консультантов» дополнительно публикуется СПС «Консультант Плюс» и СПС «Гарант».
Сведения о субъекте могут быть в любое время исключены из общедоступных источников персональных данных на основании заявления субъекта либо по решению суда или уполномоченных государственных органов, в случае если законодательством РФ не установлено иное.
3.5. Поручение обработки персональных данных другому лицу.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.
IV. Цели и правовые основания обработки персональных данных
4.1. Оператор осуществляет обработку персональных данных в целях осуществления деятельности организации согласно законодательству РФ и своим уставным документам.
4.1.1. Персональные данные сотрудников и кандидатов при приеме на работу обрабатываются в целях:
а) обеспечения соблюдения Оператором законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений, для реализации полномочий, возложенных на Оператора Уставом Оператора и законодательством Российской Федерации;
б) обеспечения функций по управлению персоналом;
в) предоставления сотрудникам и членам их семей гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
г) обеспечения безопасности;
д) обеспечения сохранности имущества Оператора.
4.1.2. Персональные данные физических лиц, в том числе индивидуальных предпринимателей, с которыми Оператором заключены договоры гражданско-правового характера и которые не имеют трудовых отношений с Оператором, обрабатываются с целью исполнения обязательств по данным договорам.
4.1.3. В целях выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей в части обеспечения прозрачности финансово-хозяйственной деятельности Оператора, в том числе исключения случаев конфликта интересов или злоупотреблений сотрудников, Оператором обрабатываются следующие персональные данные сотрудников, являющихся декларантами, в том числе персональные данные их близких родственников.
4.2. Настоящая Политика разработана с учетом требований:
— Конституции Российской Федерации;
— Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Трудового кодекса Российской Федерации;
— постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— иных нормативных правовых актов Российской Федерации, определяющих требования по обработке и защите персональных данных.
V. Состав обрабатываемых персональных данных
5.1. Оператором обрабатываются персональные данные следующих субъектов:
— персональные данные сотрудников и кандидатов при приеме на работу;
— персональные данные физических лиц, с которыми Оператором заключены договоры гражданско-правового характера;
— персональные данные, обрабатываемые в целях обеспечения прозрачности финансово-хозяйственной деятельности;
— персональные данные сотрудников, являющихся декларантами, в том числе персональные данные их близких родственников;
— пользователи Интернет-сервисов и приложений.
5.2. Состав обрабатываемых персональных данных сотрудников и кандидатов при приеме на работу:
— фамилия, имя, отчество;
— число, месяц, год, место рождения;
— адрес регистрации, адрес фактического проживания, адрес для направления письменной корреспонденции;
— сведения о последнем месте государственной или муниципальной службы;
— данные о допуске к государственной тайне, оформленном за период работы, службы, учебы (форма, номер и дата);
— сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера близких родственников (только для декларантов); *
— семейное положение;
— данные об образовании, о квалификации;
— данные, содержащиеся в анкете, подлежащей предъявлению Оператору кандидатом при приеме на работу;
— иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 4.1.1 настоящей Политики.
5.3. Состав обрабатываемых персональных данных физических лиц, с которыми Оператором заключены договоры гражданско-правового характера:
— фамилия, имя, отчество;
— число, месяц, год, место рождения;
— адрес регистрации (фактического проживания);
— иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 4.1.2 настоящей Политики.
5.4. Состав персональных данных обрабатываемых в целях обеспечения прозрачности финансово-хозяйственной деятельности, а также состав персональных данных сотрудников, являющихся декларантами, в том числе персональных данных их близких родственников определяется в соответствии с локально нормативными актами Оператора и нормативными правовыми актами Российской Федерации.
5.5. Состав обрабатываемых персональных данных пользователей Интернет-сервисов и приложений:
— фамилия, имя, отчество;
— регион проживания;
— контактные данные (телефон, e-mail);
— файлы «Cookie» пользователей.
5.6. Биометрические персональные данные не обрабатываются.
VI. Сбор и обработка персональных данных
6.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от субъектов персональных данных или из общедоступных источников.
6.2. В случае невозможности получения персональных данных непосредственно от субъектов персональных данных они могут быть получены у третьих лиц при соблюдении следующих условий:
а) оформление письменного согласия субъектов персональных данных;
б) подтверждение субъектом персональных данных оснований, указанных в пунктах 2—11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных».
6.3. В случае отказа субъектов персональных данных представить персональные данные, представление которых является обязательным в соответствии с федеральными законами, сотрудник, осуществляющий сбор (получение) персональных данных, обязан разъяснить таким субъектам персональных данных юридические последствия отказа.
6.4. Обработка персональных данных сотрудника осуществляется с письменного согласия сотрудника, если иное не установлено федеральными законами.
6.5. Обработка персональных данных кандидатов при приеме на работу осуществляется с их согласия, полученного в любой позволяющей подтвердить факт его получения форме, в том числе выраженного подтверждением согласия на обработку персональных данных на официальном сайте Оператора в сети «Интернет», если иное не установлено федеральными законами.
6.6. Если иное не предусмотрено законодательством Российской Федерации, при обработке персональных данных в объеме и целях, указанных в разделе 5 настоящей Политики, не требуется получения согласия на обработку Оператором персональных данных следующих лиц:
а) физические лица, с которыми Оператором заключены договоры гражданско-правового характера;
б) декларанты и (или) их близкие родственники;
в) физические лица, указанные в цепочке собственников, включая бенефициаров (в том числе конечных), участников закупочных процедур и контрагентов Оператора.
VI. Хранение персональных данных
6.1. Хранение персональных данных Оператором осуществляется:
а) на материальных носителях;
б) в документах на бумажных носителях;
в) на учтенных сменных электронных носителях информации в соответствии с локально-нормативными актами Оператора, регулирующим порядок обращения со сменными электронными носителями информации, содержащими конфиденциальную информацию;
г) на защищенных дисках, установленных на автоматизированных рабочих местах;
д) в защищенных сетевых хранилищах ограниченного доступа, установленных на файловых серверах (в том числе виртуальных);
ж) в почтовых ящиках корпоративной электронной почты в виде зашифрованных писем электронной почты;
з) в информационной системе персональных данных с установленным соответствующим уровнем ограниченного доступа.
6.2. Защита от несанкционированного доступа к персональным данным при хранении материальных носителей обеспечивается:
а) раздельным хранением материальных носителей, содержащих персональные данные, обработка которых осуществляется в различных целях;
б) хранением материальных носителей в запирающихся шкафах, сейфах;
в) хранением дубликатов ключей от указанных шкафов, сейфов у руководителей структурных подразделений, обрабатывающих персональные данные.
6.3. Сроки хранения персональных данных, обрабатываемых Оператором, определяются в соответствии с нормативными правовыми актами Российской Федерации и локально-нормативными актами. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6.4. Документы на бумажных носителях, содержащие персональные данные, помещаются в дела в соответствии с утвержденной номенклатурой дел и хранятся в структурных подразделениях:
а) документы временного хранения — до истечения срока хранения и последующего уничтожения;
б) документы постоянного и длительного хранения (свыше 10 лет) — до передачи на архивное хранение.
Срок хранения данных документов определяется в соответствии с номенклатурой дел.
VII. Передача персональных данных
7.1. При передаче персональных данных исключается несанкционированный доступ к персональным данным в процессе их передачи;
7.2. При передаче персональных данных обеспечивается конфиденциальность передаваемых персональных данных;
7.3. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации и иными федеральными законами;
7.4. Передача персональных данных органу государственной власти, органу местного самоуправления, органу безопасности и правопорядка, государственному учреждению и фонду, а также иному уполномоченному органу допускается по основаниям, предусмотренным законодательством Российской Федерации.
7.5. Раскрытие персональных данных третьему лицу без согласия соответствующего субъекта не допускается, за исключением случаев, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных.
7.6. Раскрытие персональных данных третьему лицу в коммерческих целях без согласия соответствующего субъекта запрещено.
7.7. Трансграничная передача персональных данных.
Оператор обязан убедиться в том, что иностранным государством на территории которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных да начала осуществления такой передачи.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
— наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
— исполнение договора, стороной которого является субъект персональных данных.
VIII. Уничтожение персональных данных
8.1. Персональные данные подлежат уничтожению в случае:
а) достижения целей обработки персональных данных или утраты необходимости в их достижении;
б) отзыва субъектом персональных данных согласия на обработку своих персональных данных, за исключением случаев, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ о персональных данных;
в) выявления неправомерной обработки персональных данных и невозможности устранения допущенных нарушений (обеспечения правомерности обработки данных персональных данных).
8.2. В случае достижения цели обработки персональных данных обработка таких персональных данных должна быть прекращена, а персональные данные должны быть уничтожены в тридцатидневный срок с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
8.3. В случае отзыва субъектом согласия на обработку его персональных данных обработка таких персональных данных должна быть прекращена, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, такие персональные данные подлежат уничтожению в течение тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
8.4. В случае выявления неправомерной обработки персональных данных обработка таких персональных данных должна быть прекращена в течение трех рабочих дней. Если обеспечить правомерность обработки персональных данных невозможно, персональные данные подлежат уничтожению в течение дести рабочих дней с даты выявления неправомерной обработки.
8.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.2. — 8.4., должно быть обеспечено блокирование таких персональных данных и их уничтожение в срок не более шести месяцев, если иной срок не установлен законодательством Российской Федерации.
IX. Права субъекта персональных данных
9.1. Согласие субъекта персональных данных на обработку его персональных данных.
Субъект персональных данных принимает решение о представлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на Оператора.
9.2. Права субъекта персональных данных.
Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с законодательством РФ. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ, или при наличии согласия в письменной форме субъекта персональных данных.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действие или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
X. Обеспечение безопасности персональных данных
10.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
10.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:
— назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
— ограничение состава лиц, имеющих доступ к персональным данным;
— ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
— организация учёта, хранения и обращения носителей информации;
— обеспечение раздельного хранения персональных данных (материальных носителей) обработка которых осуществляется в различных целях;
— соблюдение условий, обеспечивающих сохранность персональных данных, исключающие несанкционированный к ним доступ при хранении материальных носителей;
10.3. Реализуются меры по защите персональных данных при их обработке в информационных системах персональных данных, в том числе:
— определение уровня защищенности персональных данных при их обработке в информационных системах;
— выполнение требований по защите персональных данных в информационных системах персональных данных в соответствии с определенными уровнями защищенности персональных данных;
— применение необходимых средств защиты информации;
— осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
— осуществление учета машинных носителей персональных данных;
— осуществление обнаружения фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
— осуществление восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установление правил доступа к персональным данным, а также обеспечение регистрации и учета действий, совершаемых с персональными данными, там, где это необходимо;
— контролирование принимаемых мер по обеспечению безопасности персональных данных и уровень защищенности.
XI. Заключительные положения
11.1. Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством РФ в области персональных данных.
11.2. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.
11.3. К настоящей политике обеспечивается неограниченный доступ всех заинтересованных лиц, в том числе субъектов персональных данных и органов власти, осуществляющих контрольно-надзорную функцию в области персональных данных.
11.4. Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно. Актуальная редакция Политики, а также уведомления об изменениях Политики размещаются на официальном Интернет-сайте Оператора.