УТВЕРЖДЕНО:

Председатель Правления

ООО НКО «Платежный Стандарт»

Р.И. Агеев

Приказ № 01/09/17 от «07» сентября 2017 года

 

 

 

ПОЛОЖЕНИЕ

об обработке и защите персональных данных

ООО НКО «Платежный Стандарт»

1. Вводная часть.

 

1.1. Настоящее Положение определяет порядок сбора, обработки, хранения и предоставления персональных данных Субъектов персональных данных Общества с ограниченной ответственностью Небанковской кредитной организации «Платежный Стандарт» (далее – НКО), а также порядок обеспечения конфиденциальности обрабатываемых персональных данных. НКО в соответствии с пунктом 2 статьи 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» является оператором по обработке персональных данных (Оператор) и самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными..

 

1.2. Настоящее Положение и изменения к нему утверждаются Председателем Правления НКО и вводятся приказом Председателя Правления НКО.

 

1.3. Доступ к настоящему Положению неограничен, так как настоящее Положение являет-ся документом, определяющим политику НКО в отношении обработки персональных данных и реализуемые требования к защите персональных данных.

 

1.4. Настоящее Положение разработано на основании требований, предъявляемых к операторам при обработке персональных данных: Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Федерального закона от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона от 27 июля 2006 года

 

№   152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иных нормативных правовых актов Российской Федерации, трудового кодекса Российской Федерации, Федерального закона «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ, приказ ФСТЭК России № 55, ФСБ

 

 

2. Основные понятия, используемые в настоящем Положении.

 

1) персональные данные - любая информация, относящаяся к прямо или косвенно опреде-ленному или определяемому физическому лицу (субъекту персональных данных);

 

2)   оператор - государственный орган, муниципальный орган, юридическое или физиче-ское лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляю-щие обработку персональных данных, а также определяющие цели обработки персональных дан-ных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

 

3)   обработка персональных данных - любое действие (операция) или совокупность дей-ствий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распростра-нение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональ-ных данных;

 

4)   автоматизированная обработка персональных данных - обработка персональных дан-ных с помощью средств вычислительной техники;

 

5) распространение персональных данных - действия, направленные на раскрытие персо-нальных данных неопределенному кругу лиц;

 

6)   предоставление персональных данных - действия, направленные на раскрытие персо-нальных данных определенному лицу или определенному кругу лиц;

 

7)   блокирование персональных данных - временное прекращение обработки персональ-ных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

 

8)   уничтожение персональных данных - действия, в результате которых становится не-возможным восстановить содержание персональных данных в информационной системе персо-нальных данных и (или) в результате которых уничтожаются материальные носители персональ-ных данных;

 

9)   обезличивание персональных данных - действия, в результате которых становится не-возможным без использования дополнительной информации определить принадлежность персо-нальных данных конкретному субъекту персональных данных;

 

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

 

11)   трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

 

3. Общие положения.

 

3.1. В зависимости от субъекта персональных данных, НКО обрабатывает персональные данные следующих категорий субъектов персональных данных:

 

- персональные данные работника НКО - информация, необходимая НКО в связи с трудо-выми отношениями и касающиеся конкретного работника;

 

- персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к НКО - информация, необходимая для отражения в отчетных документах о дея-тельности Банка в соответствии с требованиями федеральных законов, нормативных документов Банка России и иных нормативных правовых актов;

 

- персональные данные субъекта персональных данных (потенциального клиента), партнера, контрагента (потенциального контрагента), а также персональные данные руководителя,

 

участника (акционера) или сотрудника юридического лица, являющегося клиентом или контрагентом (потенциальным клиентом , партнером, контрагентом) НКО - информация, необходимая для выполнения своих обязательств в рамках договорных отношений с клиентом или контрагентом и осуществления прав в рамках соответствующего договора, заключенного с клиентом или контрагентом (партнером, залогодателем, поручителем, принципалом), для минимизации рисков НКО, связанных с нарушением обязательств по соответствующему договору и для выполнения требований законодательства Российской Федерации

 

3.2. НКО осуществляет обработку персональных данных, полученных НКО в связи с за-ключением Договора, стороной которого является субъект персональных данных, контрагент, вы-годоприобретатель, бенефициарный владелец, законный представитель субъекта персональных данных, сотрудник НКО, физические лица, обратившиеся к Оператору, в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской федерации». При этом персональные данные не распространяются, а также не предоставляются третьим лицам без

 

согласия субъекта персональных данных и используются НКО исключительно для заключения и исполнения указанного Договора.

 

3.3. При обработке персональных данных НКО применяет правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправо-мерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных дей-ствий в отношении персональных данных, в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

 

3.4. НКО в соответствии со статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обеспечивает конфиденциальность персональных данных, не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных если иное не предусмотрено федеральным законом.

 

3.5. НКО вправе поручить обработку персональных данных другому лицу с согласия субъ-екта персональных, если иное не предусмотрено федеральным законом, на основании заключаемо-го с этим лицом договора, в том числе государственного или муниципального контракта, либо пу-тем принятия государственным или муниципальным органом соответствующего акта.

 

3.6. Лицо, осуществляющее обработку персональных данных по поручению НКО, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». В НКО определены перечень действий (операций) и цели обработки с персональными данными, которые будут совершаться лицом, осу-ществляющим обработку персональных данных, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных дан-ных».

 

3.7.   Основные права и обязанности Оператора и Субъекта персональных данных.

3.7.1. Субъект персональных данных имеет право:

3.7.1.1. На полную информацию о своих персональных данных и обработке этих данных.

 

3.7.1.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.

 

3.7.1.3 Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе исключить или исправить персональные данные субъекта персональных данных последний имеет право заявить в письменной форме в НКО о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить письменным заявлением, выражающим его собственную точку зрения.

 

3.7.1.4. Требовать извещения от НКО всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

 

3.7.1.5. Обжаловать в суд любые неправомерные действия или бездействие НКО при обработке и защите его персональных данных.

 

3.7.1.6. Определять своих представителей для защиты своих персональных данных.

 

3.7.1.7. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:

 

- подтверждение факта обработки персональных данных НКО;

- правовые основания и цели обработки персональных данных;

- цели и применяемые НКО способы обработки персональных данных;

 

- наименование и место нахождения НКО, сведения о лицах (за исключением работников НКО), которые имеют доступ к персональным данным или которым могут быть раскрыты персо-нальные данные на основании договора или на основании Федерального закона РФ «О персональ-ных данных»;

 

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту пер-сональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом РФ «О персональных данных»;

 

- сроки обработки персональных данных, в том числе сроки их хранения;

 

- порядок осуществления субъектом персональных данных прав, предусмотренных Феде-ральным законом РФ «О персональных данных»;

 

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению НКО, если обработка поручена или будет поручена такому лицу;

 

- иные сведения, предусмотренные Федеральным законом РФ «О персональных данных» или другими федеральными законами.

 

3.7.1.8. Право субъекта персональных данных на доступ к его персональным данным мо-жет быть ограничено в соответствии с федеральными законами, в том числе если обработка пер-сональных данных осуществляется в соответствии с законодательством о противодействии лега-лизации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также в иных случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персо-нальных данных».

 

3.7.2. Права и обязанности НКО:

 

3.7.2.1. НКО принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 

3.7.2.2. НКО добивается того, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

 

3.7.2.3. В целях обеспечения адекватной защиты персональных данных НКО проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

 

3.7.2.4. В соответствии с выявленными актуальными угрозами НКО применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:

 

- определение угроз безопасности информации, содержащей персональные данные, при ее обработке;

 

- применение организационных и технических мер по обеспечению безопасности инфор-мации, содержащей персональные данные, при ее обработке;

 

- применение прошедших в установленном порядке процедуры оценки соответствия средств защиты информации;

 

- оценку эффективности принимаемых мер до ввода в эксплуатацию информационной си-стемы персональных данных;

 

- учет машинных носителей информации, содержащей персональные данные, в порядке, предусмотренном локальными нормативными актами НКО;

 

- обнаружение фактов несанкционированного доступа к информации, содержащей персо-нальные данные, и принятие мер;

 

- восстановление персональных данных, модифицированных или уничтоженных вслед-ствие несанкционированного доступа к ним;

 

- установление правил доступа к информации, содержащей персональные данные, обеспе-чение регистрации и учета всех действий, совершаемых с информацией, содержащей персональ-ные данные, в информационной системе персональных данных;

 

- контроль за принимаемыми мерами.

 

3.7.2.6. В НКО назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

 

4. Цели, принципы и правовые основания обработки персональных данных

 

4.1. Целями обработки персональных данных субъектов персональных данных являются:

 

- осуществление банковских операций и иной деятельности, предусмотренной Уставом и лицензиями НКО, нормативными актами Банка России, действующим законодательством Россий-ской Федерации;

 

- заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, преду-смотренных действующим законодательством Российской Федерации и Уставом НКО;

- организации кадрового учета НКО; ведения кадрового делопроизводства, содействия ра-ботникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства Российской Федерации в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства Российской Федерации при формировании и представлении персо-нифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статисти-ческой документации, в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральными законами Российской Федерации, Уставом и внутренними документами Банка.

 

-иные законные цели.

 

4.2. Принципами обработки персональных данных являются:

 

·             законность и справедливость целей, способов и основ обработки персональных данных; ограниченность обработки персональных достижением конкретных, заранее определенных и законных целей;

 

·             недопустимость обработки персональных данных, несовместимых с целями сбора персональных данных;

 

·             недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

 

·             обработка персональных данных, отвечающим целям их обработки;

 

·             соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;

 

·             обеспечение точности персональных данных при их обработке, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

 

·             принятие необходимых мер либо обеспечение их принятия по удалению или уточнению неполных или неточных данных;

 

·             осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным Законом, договором, стороной которого является субъект персональных данных, выгодоприобретатель или поручитель;

 

·             уничтожение либо обезличивание обрабатываемых персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

4.3. Правовым основанием обработки персональных данных является:

 

Совокупность правовых актов, во исполнение которых и в соответствии с которыми НКО осуществляет обработку персональных данных. Правовым основанием обработки персональных данных являются:

 

·        федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью НКО;

 

·        уставные документы НКО;

·        согласие на обработку персональных данных;

·        договоры, заключаемые между НКО и субъектом персональных данных;

 

·        договор банковского счета (с субъектом персональных данных – юридическим ли-цом);

 

·        договор об осуществлении переводов денежных средств без открытия банковского счета;

 

·        договор о сотрудничестве НКО с банковским платежным агентом (субагентом);

 

·        договор корреспондентского счета с банками- контрагентами;

 

·        договор о предоставлении электронного средства платежа и совершении операций с его использованием (подразделяется на электронные кошельки и платежные карты);

 

·        трудовой договор и т.д.

 

4.4. НКО осуществляет идентификацию принимаемых на обслуживание субъектов персональных данных, на основе заключаемых с ними договоров в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (Федеральный закон № 115-ФЗ от 07.08.2001 года).

 

4.5. В случае предоставления или распространения персональных данных субъекта персональных данных третьим лицам такое предоставление или распространение осуществляется

 

с   согласия субъекта персональных данных и используются НКО исключительно для исполнения договоров с субъекта персональных данных и заключения с ним новых договоров.

 

5.    Объем и категории обрабатываемых персональных данных. Категории субъектов персональных данных

 

5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, установленным настоящим Положением. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

 

5.2. Сведениями, составляющими персональные данные, в НКО является любая информация, относящаяся к определенному или определяемому на основании такой информации

 

субъекту персональных данных, в том числе:

Фамилия, имя, отчество; Пол; Дата рождения(число/месяц/год); Место рождения; Адрес

регистрации; Адрес места жительства; Контактная информация(номер телефона, электронный

адрес); Гражданство; Состояние в браке; Состав семьи; Статус семьи; Паспортные данные

(серия/номер/дата/кем выдан); Идентификационный номер налогоплательщика; Страховой номер

индивидуального лицевого счета застрахованного лица; Сведения об образовании (уровень

образования, наименование учебного заведения, год окончания, номер диплома,

 

специальность/квалификация по диплому, форма профессионального послевузовского образования

 

и т.д.); Сведения о повышении квалификации; Ученая степень и ученое звание, даты присвоения степени/звания; Сведения о квалификационной категории; Сведения о сертификате специалиста; Сведения о повышении квалификации; Общий трудовой стаж; Данные о предыдущих местах работы; Дата и причина увольнения с предыдущих мест работы; Сведения о социальных льготах; Сведения о поощрениях и наградах; Сведения о временной нетрудоспособности; Место работы; Должность субъекта персональных данных; Сведения об испытательном сроке; Данные по отпускам; Статус военнообязанного; Воинское звание; Сведения об инвалидности; Сведения о несчастных случаях; Сведения о судимости; Сведения о знании иностранного языка; Данные о начисленных суммах (тарифная ставка (оклад), надбавки, премии, доплаты, вознаграждения и т.д.); Тип и сумма налогового вычета; Данные о суммах удержаний из заработной платы; Сведения о командировках; Реквизиты лицевого счета; Информация об оказанных услугах, в т.ч. стоимости оказанных услуг; Сведения о выданных электронных средствах платежа, сведения об остатках и операциях с использованием электронного средства платежа. Номер мобильного телефона или адрес электронной почты – используется для связи с Субъектом персональных данных в рамках заключаемых договоров.

 

Перечень не является исчерпывающим. Перечень может утверждаться в НКО в форме от-дельного документа.

 

5.1.1. С письменного согласия субъекта персональных данных его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных, могут включаться в общедоступные источ-ники персональных данных (в том числе справочники, адресные книги), при этом сведения о субъ-екте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

 

5.2.    Источники получения персональных данных, обрабатываемых НКО:

 

5.2.1. Персональные данные предоставляются физическим лицом с его согласия при приеме такого физического лица на обслуживание в качестве субъекта персональных данных НКО

 

-   при осуществлении переводов без открытия банковского счета, а также при предоставлении электронных средств платежа, а при открытии банковских счетов юридическому лицу – при приеме на обслуживание такого юридического лица.

 

5.2.2. Персональные данные предоставляются в НКО посредством заполнения Анкеты субъекта персональных данных в электронном виде и на бумажном носителе и подписания Анкеты собственноручной подписью субъекта персональных данных (уполномоченного представителя субъекта персональных данных).

 

5.2.3. Подписание Анкеты является необходимым условием для заключения договора с субъектом персональных данных и принятия его на обслуживание в НКО.

 

5.2.4. НКО в договорах с субъектами персональных данных принимает на себя обязательство не раскрывать и не распространять его персональные данные, не предоставлять персональные данные без его согласия третьим лицам, использовать персональные данные

 

исключительно для исполнения указанного договора.

 

5.2.5. Персональные данные физических лиц используются только и исключительно в целях их идентификации в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также для заключения новых договоров с субъектом персональных данных .

 

5.2.6. Персональные данные могут быть получены от третьих лиц: федеральных органов исполнительной власти, муниципальных органов, судов общей юрисдикции; органов, осуществляющих контрольные функции по взысканию денежных средств; органов уголовно-исполнительной системы, банковских платежных агентов (субагентов) НКО, иных лиц.

 

 

6.           Порядок, способы и условия обработки персональных данных

 

6.1. НКО осуществляет следующий перечень действий с персональными данными, совершаемых НКО с персональными данными субъектов:

 

·             сбор;

·             запись;

·             систематизацию;

 

·             накопление;

·             хранение;

·             уточнение (обновление, изменение);

·             извлечение;

·             использование;

·             передачу (распространение, предоставление, доступ);

 

·             обезличивание;

·             блокирование;

·             удаление;

·             уничтожение.

 

 

6.2. НКО использует способы обработки персональных данных с использованием средств автоматизации или без использования таких средств, а также смешанную обработку, предполага-ющую как автоматизированную, так и неавтоматизированную обработку группы персональных данных, с передачей по внутренней (локальной) сети НКО, либо с использованием сети общего пользования Интернет.

 

 

6.2.1. Обработки персональных данных, осуществляемые без использования средств автоматизации

 

6.2.2. Обработка в отношении каждого из субъектов персональных данных, зафиксирован-ных на материальном носителе может осуществляться НКО при непосредственном участии чело-века, без использования средств вычислительной техники, с использованием типовых документов на материальном носителе, позволяющих осуществлять в соответствии с заданным алгоритмом поиск персональных данных и (или) доступ к таким персональным данным.

 

·             Анкеты субъектов персональных данных утверждаются в составе типовых форм, со-держащихся во внутренних документах НКО или в составе типовых договоров НКО.

 

·             Анкеты субъектов персональных данных содержат все сведения, предусмотренные Постановлением Правительства РФ № 687 от 15.09.2008г. «Об утверждении Положения об осо-

 

бенностях обработки персональных данных, осуществляемой без использования средств автомати-зации».

 

·             Обработка персональных данных, содержащихся в Анкетах субъектов персональных данных производится с учетом требований, предусмотренных Постановлением Правительства РФ

 

№   687 от 15.09.2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

·             Персональные данные каждого конкретного субъекта персональных данных, содержащиеся в Анкете, при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации других субъектов персональных данных , в частности путем фиксации персональных данных на отдельных носителях информации для каждого отдельного субъекта персональных данных

 

·             Анкета предусматривает место для собственноручной подписи субъекта персональ-ных данных о согласии с предоставлением и обработкой персональных данных, содержит персо-нальные данные только одного субъекта персональных данных, с которыми субъект персональных данных имеет возможность ознакомиться. Анкета не содержит персональных данных, цели обра-ботки которых не совместимы.

 

·             Анкеты субъектов персональных данныхна бумажных носителях систематизируются банковскими платежными агентами НКО, в соответствии с «Положением о порядке и условиях взаимодействия ООО НКО «Платежный Стандарт» и его банковских платежных агентов (субаген-тов)» с последующим предоставлением в НКО на хранение. Хранение Анкет организовано обособленной номенклатурой с назначением ответственных лиц из числа сотрудников НКО.

 

Лица, осуществляющие обработку персональных данных без использования средств авто-матизации (в том числе сотрудники НКО или лица, осуществляющие такую обработку по договору с НКО), должны быть в обязательном порядке в соответствии с условиями договора проинформи-рованы о факте обработки ими персональных данных, обработка которых осуществляется НКО без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными пра-вовыми актами органов исполнительной власти субъектов Российской Федерации, а также локаль-ными правовыми актами НКО (при их наличии).

 

6.2.3. Автоматизированная обработка

 

Обработка персональных данных совершается НКО с использованием средств автомати-зации (вычислительной техники) – информационных систем персональных данных НКО.

 

НКО использует информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем: автоматизированное использование баз данных Федеральной службы по финансовому мониторингу, Федеральной миграционной службы в целях исполнения своих

 

обязанностей по идентификации субъектов персональных данных в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

 

Обработка персональных данных не может быть признана осуществляемой с использова-нием средств автоматизации только на том основании, что персональные данные содержатся в ин-формационной системе персональных данных либо были извлечены из нее.

 

6.2.3. Условия обработки персональных данных:

 

●                    осуществление обработки персональных данных допускается в случаях, установленных пунктом 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;

 

осуществление обработки персональных данных с согласия субъекта персональных данных на обработку его персональных данных;

 

● персональные данные должны быть получены лично у Субъектов персональных данных

 

. В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом Субъектов персональных данных заранее, получить их письменное согласие и сообщить субъектам персональных данных о целях, предполагаемых источниках и способах получения персональных данных;

 

● запрещено использование в качестве основания при принятии решений, затрагивающих интересы Субъектов персональных данных , персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

 

●      обеспечение защиты персональных данных от неправомерного их использования или утраты за счет средств НКО в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

 

●   осуществление передачи персональных данных третьей стороне только с письменного согласия Субъектов персональных данных , за исключением случаев, установленных федеральными законами. Лицо, осуществляющее обработку персональных данных по поручению НКО, не обязано получать согласие Субъекта персональных данных на обработку его персональных данных;

 

· запрещается сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

 

· запрещается сообщать персональные данные Субъекта персональных данных в коммерческих целях без письменного согласия субъекта персональных данных;

 

· лица, получающие персональные данные, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;

 

· разрешение на доступ к персональным данным может быть дано только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

 

· НКО не запрашивает информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Субъектом персональных данных обязательств перед НКО;

 

6.2.4. Сроки обработки и хранения персональных данных.

 

Процедуры прекращения обработки персональных данных и их уничтожения либо обезличивания в сроки, установленные Федеральным законом "О персональных данных", в следующих случаях:

 

- по достижении цели обработки персональных данных (если иное не предусмотрено договором, стороной которого является субъект персональных данных);

 

- отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных (если иное не предусмотрено договором, стороной которого является субъект персональных данных);

 

- если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

 

- выявления неправомерной обработки персональных данных, осуществляемой НКО или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки

 

персональных данных невозможно;

 

-    выявления неправомерной обработки персональных данных без согласия субъекта персональных данных.

 

Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и НКО, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства Российской Федерации, нормативными документами Банка России, а также сроком действия согласия субъекта на обработку его персональных данных.

 

5.7. В НКО осуществляются регистрация и учет мест архивного и не архивного хранения бумажных носителей персональных данных с фиксацией категории обрабатываемых персональ-ных данных, включая раздельное хранение ресурсов персональных данных, обработка которых осуществляется с различными заведомо несовместимыми целями. Правила регистрации и учета таких мест определяются «Правилами внутреннего контроля ООО НКО «Платежный Стандарт» в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и фи-нансирования терроризма» (в части остальных персональных данных, обрабатываемых НКО). От-ветственные за организацию хранения бумажных носителей персональных данных назначается приказом Председателя Правления.

 

6.           При осуществлении хранения персональных данных НКО использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных".

 

5.6.2. В случае отсутствия возможности уничтожения персональных данных либо обезличивания персональных данных в течение срока, установленного Федеральным законом "О персональных данных", НКО обеспечивает их блокирование с последующим обеспечением уничтожения персональных данных. Уничтожение персональных данных производится не позднее шести месяцев со дня их блокирования.

 

7.           Согласие субъекта персональных данных

 

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

 

7.1.1. Согласие на обработку персональных данных может быть дано субъектом персо-нальных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработ-ку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются НКО.

 

7.1.2. Согласие может быть дано как в письменной форме, так и WEB-форме на сайте НКО. Равнозначным содержащему собственноручную подпись Субъекта персональных данных согласию в письменной форме на бумажном носителе (в том числе на анкетах, заявлениях НКО и пр.) признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Также согласие Субъекта персональных данных считается полученным НКО в случае акцепта Субъектом персональных данных Оферты НКО, а равно совершения Субъектом персональных данных действий, свидетельствующих о таком акцепте.

 

7.1.3. Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных путем подачи письменного заявления по адресу местонахождения НКО (г. Новосибирск, ул. Б. Хмельницкого, 56), либо в электронном виде на адрес электронной почты: info@payst.ru. В случае отзыва Субъектом персональных данных согласия на обработку

 

персональных данных, НКО вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии соответствующих оснований, предусмотренных действующим законодательством в области персональных данных.

 

7.1.4. Согласие субъекта персональных данных в письменной форме должно наличествовать при поступлении от субъекта персональных данных сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые могут использоваться НКО для установления личности субъекта персональных данных.

 

7.1.5. Согласие Субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

 

·             фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе

 

(при получении согласия от представителя субъекта персональных данных - фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)

 

·             наименование и адрес НКО, получающего согласие субъекта персональных данных;

·             цель обработки персональных данных;

 

·             перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

 

·             перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых НКО способов обработки персональных данных;

 

·               срок, в течение которого действует согласие, а также способ его отзыва;

·             подпись субъекта персональных данных.

 

7.1.6. В случае недееспособности Субъекта персональных данных согласие на обработку его персональных данных дает его законный представитель.

 

7.2. Персональные данные могут быть получены НКО от лица, не являющегося Субъектом персональных данных НКО, при условии предоставления НКО подтверждения наличия соответствующих оснований, предусмотренных действующим законодательством в области персональных данных.

 

7.3. Согласие Субъекта персональных данных на обработку персональных данных не требуется в следующих случаях, если:

 

·             персональные данные являются общедоступными;

 

·             обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия НКО;

 

·             по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом;

 

·             обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

 

·             обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.

 

 

8. Актуализация, блокирование, исправление, удаление и уничтожение персональных данных

 

8.2. НКО осуществляет блокирование персональных данных

 

8.2.1.В случае выявления неправомерной обработки персональных данных

 

при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных. Блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, производится с момента такого обращения или получения указанного запроса на период проверки.

 

8.2.2. в случае выявления неточных персональных данных

 

В   случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных (или его представителем) НКО обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению НКО) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных

 

 

8.3. НКО актуализирует (дополняет, уточняет) персональные данные

 

8.3.1. в случае поступления в НКО сведений, указанных в пункте 9.2.2. Положения, в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, в случае подтверждения факта неточности персональных данных

 

и на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, уточнение производится в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

 

8.3.2. о внесенных изменениях и предпринятых мерах НКО уведомляет субъекта персональных данных, а также третьих лиц, которым персональные данные этого субъекта персональных данных были переданы

 

8.4. НКО уничтожает персональные данные

 

8.4.1. в случае поступления в НКО сведений, указанных в пункте 9.2.2. Положения и при этом обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных.

 

8.4.2. в случае поступления в НКО от субъекта персональных данных или его представителя сведений, подтверждающих что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в срок, не превышающий семи рабочих дней со дня представления указанных сведений.

 

8.4.3. по достижении целей обработки персональные данные (пункт 8.3.1. Положения) или

 

в     случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом - НКО уничтожает либо обезличивает персональные данные

 

8.4.4. в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если:

 

·             иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

 

·           НКО не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными

 

федеральными законами;

 

·             иное не предусмотрено иным соглашением между НКО и субъектом персональных

данных .

 

8.4.5. в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5 статьи 21 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» НКО осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению НКО) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 

8.5. Об устранении допущенных нарушений или об уничтожении персональных данных НКО уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

 

 

8. 6.При обращении субъекта персональных данных НКО обязано:

 

8.6.1. сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных дан-ных, а также предоставить возможность ознакомления с этими персональными данными при об-ращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

 

8.6.2. в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональ-ных данных или его представителю при их обращении либо при получении субъекта персональ-ных данных или его представителя НКО даѐт в письменной форме мотивированный ответ, содер-жащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отка-за, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

 

8.6.3. предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персо-нальных данных.

 

8.6.4. прекратить неправомерную обработку персональных данных в порядке, указанном в пункте 8.1.2 Положения.

 

8.6.5. внести необходимые изменения в персональные данные субъекта персональных данных в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональ-ных данных или его представителем сведений, подтверждающих, что персональные данные яв-ляются неполными, неточными или неактуальными.

 

8.6.6. уничтожить персональные данные в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтвер-ждающих, что такие персональные данные являются незаконно полученными или не являются не-обходимыми для заявленной цели обработки.

 

8.6.7. уведомить субъекта персональных данных или его представителя о внесенных из-менениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта персональных данных были переданы.

 

8.6.8. в случае изменения сведений, указанных в части 3 статьи ст.22 Федерального зако-на от 27.07.2006 N 152-ФЗ «О персональных данных», а также в случае прекращения обработки персональных данных НКО обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных ( при условии, что ранее в орган направлялось уведомление в по-рядке статьи ст.22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»), в те-чение 10 (десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

 

8.6.9. совершать иные действия, указанные в разделе 8 настоящего Положения.

 

 

9. Меры, направленные на обеспечение выполнения обязанностей НКО

 

9.1. НКО реализует следующий состав и перечень мер, необходимых и достаточных для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий, а также обеспечения выполнения своих обязанностей, предусмотренных действующим законодательством в области персональных данных:

 

·             назначает ответственного за организацию обработки персональных данных;

 

·             издает документы, определяющие политику в отношении обработки персональных данных и процедур, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

 

·           применяет правовые, организационные и технические мер по обеспечению безопас-ности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;

 

·             осуществляет внутренний контроль и (или) аудит соответствия обработки персо-нальных данных Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» и при-нятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике НКО в отношении обработки персональных данных, локальным актам НКО;

 

·             осуществляет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных дан-ных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выпол-нения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персо-нальных данных»;

 

·             ознакомляет работников, непосредственно осуществляющих обработку персональ-ных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику НКО в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

 

9.2. Лицо, ответственное за организацию обработки персональных данных, имеющее доступ к персональным данным Субъектов персональных данных НКО - обеспечивает хранение информации, содержащей персональные данные субъекта персональных данных, исключающее доступ к ним третьих лиц. При уходе в отпуск, в период служебной командировки и иных случаях длительного отсутствия лица, ответственного за организацию обработки персональных данных на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Субъектов персональных данных по акту передачи под роспись лицу (сотруднику НКО), на которое распоряжением Председателя Правления НКО будет возложено исполнение его трудовых обязанностей в период его отсутствия.

 

9.2.1. В случае, если такое лицо не назначено, то документы и иные носители, содержащие

 

персональные данные Субъектов персональных данных , передаются по акту передачи под роспись сотруднику, имеющему доступ к персональным данным Субъектов персональных данных по распоряжению и указанию Председателя Правления.

 

9.2.2. При увольнении сотрудника, имеющего доступ к персональным данным Субъектов персональных данных , документы и иные носители, содержащие персональные данные Субъектов персональных данных , передаются по акту передачи под роспись другому сотруднику, имеющему доступ к персональным данным Субъектов персональных данных по распоряжению и указанию Председателя Правления НКО.

 

9.2.3. Во избежание несанкционированного входа в учѐтную запись ПК сотрудника, имеющего доступ к персональным данным, в которых содержатся персональные данные Субъектов персональных данных , ПК блокируется паролем, который устанавливается специалистами Служб информационных технологий НКО.

 

9.2.4.    Сотруднику   НКО    запрещается   копировать   и   делать            выписки         из          средств,

 

содержащих персональные данные Субъектов персональных данных для целей, не предусмотренных должностными обязанностями.

 

9.2.5. Персональные данные, содержащиеся в бумажном виде, должны быть уничтожены после минования их надобности.

 

9.3. НКО реализует перечень мер, установленных Постановлением Правительства РФ от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обя-занностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в со-ответствии с ним нормативными правовыми актами, операторами, являющимися государственны-ми или муниципальными органами».

 

 

10. Меры, направленные на обеспечение безопасности персональных данных при их обработке

 

НКО осуществляет защиту персональных данных при их обработке подлежат следующие персональные данные Субъектов персональных данных , если только с них на законном основании не снят режим конфиденциальности:

 

·             документы, содержащие персональные данные субъекта персональных данных;

 

·             информация, содержащая персональные данные Субъектов персональных данных , размещенная на электронных носителях.

 

10.1. К мерам, направленным на обеспечение безопасности персональных данных, отно-сятся в частности:

 

10.1.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (под угрозами безопасности персональных дан-ных понимаются совокупность условий и факторов, создающих опасность несанкционированного,

 

в   том числе случайного, доступа к персональным данным, результатом которого могут стать уни-чтожение, изменение, блокирование, копирование, предоставление, распространение персональ-ных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных);

 

10.1.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности

 

персональных данных;

 

10.1.2.1.Защита персональных данных Субъектов персональных данных , хранящихся в электронных базах данных НКО от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается специалистами Служб информационных технологий НКО.

 

10.1.2.2. Защита доступа к электронным базам данных НКО, содержащим персональные данные Субъектов персональных данных , обеспечивается:

 

·             использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть НКО. Разграничением прав доступа с использованием учетной записи;

 

·             двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются специалистами Служб информационных технологий НКО и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Субъектов персональных данных .

 

10.1.3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

 

10.1.4. оценка эффективности принимаемых мер по обеспечению безопасности персо-нальных данных до ввода в эксплуатацию информационной системы персональных данных;

 

10.1.5.учет машинных носителей персональных данных;

 

10.1.6. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

 

10.1.7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

 

10.1.8. установление правил доступа к персональным данным, обрабатываемым в инфор-мационной системе персональных данных, а также обеспечением регистрации и учета всех дей-ствий, совершаемых с персональными данными в информационной системе персональных дан-ных;

 

10.1.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

 

10.2.   НКО принимает иные меры направленные на выполнение требований :

 

10.2.1.по определению уровней защищенности персональных данных при обработке в ин-формационных системах персональных данных в зависимости от угроз безопасности этих данных, установленных Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требо-ваний к защите персональных данных при их обработке в информационных системах персональ-ных данных» ;

 

10.2.2.к защите персональных данных при их обработке в информационных системах пер-сональных данных, исполнение которых обеспечивает установленные уровни защищенности пер-сональных данных, в соответствии и Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информацион-ных системах персональных данных»;

 

10.2.3.к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, в соответствии с По-становлением Правительства РФ от 06.07.2008 N 512 «Об утверждении требований к материаль-ным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

 

10.3. Контроль и надзор за выполнением организационных и технических мер по обеспе-чению безопасности персональных данных, установленных в соответствии со статьей 19 Феде-рального закона от 27.07.2006 N 152-ФЗ «О персональных данных», при обработке персональных данных в государственных информационных системах персональных данных осуществляются фе-деральным органом исполнительной власти, уполномоченным в области обеспечения безопасно-сти, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без пра-ва ознакомления с персональными данными, обрабатываемыми в информационных системах пер-сональных данных.

 

11.        Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов.

 

11.1.Информация, касающаяся обработки персональных данных субъекта персональных данных, предоставляется НКО на безвозмездной основе субъекту персональных данных или его представителю либо уполномоченному органу (в т.ч. органам дознания и следствия) по основаниям, предусмотренным действующим законодательством Российской Федерации при получении запроса от указанных лиц (органов).

 

11.1.1. Доступ Субъекта персональных данных к своим персональным данным предоставляется при личном обращении либо при получении письменного запроса Субъекта персональных данных в адрес НКО путем подачи письменного заявления по адресу местонахождения НКО (г. Новосибирск, ул. Б. Хмельницкого, 56), либо в электронном виде на адрес электронной почты: info@payst.ru. В последнем случае подпись Субъекта персональных данных на таком заявлении должна быть удостоверена в нотариальном порядке, либо цифровой подписью в соответствии с законодательством Российской Федерации).

 

11.1.2. НКО сообщает субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставляет возможность ознакомления в порядке, установленном настоящим Положением.

 

11.1.3. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие наличие данных о субъекте персональных данных в базах НКО (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) и собственноручную подпись Субъекта персональных данных или его законного представителя.

 

11.1.4. НКО вправе ограничить право Субъекта персональных данных на доступ к его персональным данным в соответствии с федеральными законами, в том числе, если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

 

11.1.5.Запрос регистрируется НКО в соответствии с порядком, установленным «Положением о документообороте и хранении документов в НКО».

 

11.2. НКО предоставляет субъекту персональных данных, персональные данные которого обрабатываются, или его представителю информацию, касающуюся обработки персональных данных субъекта персональных данных, в том числе содержащую:

 

·             подтверждение факта обработки НКО персональных данных;

·             правовые основания и цели обработки персональных данных;

·             цели и применяемые НКО способы обработки персональных данных;

 

·             наименование и место нахождения НКО, сведения о лицах (за исключением работников НКО), которые имеют доступ к персональным данным или которым могут быть

 

раскрыты персональные данные на основании договора с НКО или на основании федерального закона;

 

·             обрабатываемые персональные данные, относящиеся к субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

 

·             сроки обработки персональных данных, в том числе сроки их хранения;

 

·             порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

 

·             информацию об осуществленной или о предполагаемой трансграничной передаче

данных

 

·             наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению НКО, если обработка поручена или будет поручена такому лицу;

 

·             иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.

 

11.2.1. Сведения, касающиеся обработки персональных данных, предоставляются НКО субъекту персональных данных (его представителю) в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. НКО сообщает субъекту персональных данных (его представителю) информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность бесплатного ознакомления с этими персональными данными при обращении Субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса Субъекта персональных данных или его представителя.

 

11.2.2. НКО вправе отказать субъекту персональных данных в доступе к его персональным данным в случае, когда:

 

·             обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма,

 

·             доступ субъекта персональных данных к его персональным данным нарушает права

и законные интересы третьих лиц,

 

·             в иных случаях, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

 

11.2.3. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса Субъекта персональных данных или его представителя, НКО дает в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения Субъекта персональных данных или его представителя либо с даты получения запроса Субъекта персональных данных или его представителя.

 

11.2.4. По требованию Субъекта персональных данных НКО уточняет его персональные данные, блокирует или уничтожает их в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В срок, не превышающий семи рабочих дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, НКО вносит в них

 

необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, НКО уничтожает такие персональные данные. НКО обязано уведомить Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта персональных данных были переданы.

 

11.2.5. Обязанности по организации приема и обработки обращений и запросов Субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов возлагаются на ответственного за организацию обработки персональных данных в НКО.

 

11.3. По запросу Уполномоченного органа по защите прав субъектов персональных данных НКО представляет информацию, необходимую для реализации Уполномоченным органом своих полномочий, в том числе документы и локальные акты по вопросам обработки персональных данных, и (или) иным образом подтверждает принятие мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

 

11.3.1. Поступившие НКО запросы Уполномоченного органа по защите прав субъектов персональных данных и иных надзорных органов, осуществляющих контроль и надзор в области персональных данных, проекта ответа Председателю правления НКО. В случае, если для подготовки проекта ответа требуется участие иных структурных подразделений НКО, ответственный за организацию обработки персональных данных НКО вправе привлекать к работе по составлению указанного документа специалистов соответствующих подразделений. Ответ на запрос с соответствующими обосновывающими материалами подписывается Председателем правления НКО. Ответ на запрос Уполномоченного органа по защите прав субъектов персональных данных (иного надзорного органа) направляется в течение тридцати дней с даты получения запроса.

 

11.3.2.В случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо Уполномоченного органа по защите прав субъектов персональных данных НКО обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению НКО) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу Уполномоченного органа по защите прав субъектов персональных данных НКО обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению НКО) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.

 

11.3.3. В случае подтверждения факта неточности персональных данных, НКО, на основании сведений, представленных Субъектом персональных данных или его представителем либо Уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по

 

поручению НКО) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

 

12.        Доступ к персональным данным и гарантии конфиденциальности при обработке персональных данных субъектов персональных данных

 

12.1. Право доступа к персональным данным субъекта персональных данных имеют сотрудники согласно «Перечню работников имеющих доступ к персональным данным согласно занимающим должностям в ООО НКО «Платежный Стандарт».

 

12.2. НКО обеспечивает конфиденциальность при сборе, обработке и хранении персональных данных субъекта персональных данных, и обязано не допускать их распространения без письменного согласия Субъектов персональных данных , либо наличия иного основания, предусмотренного действующим законодательством РФ .

 

12.2.1.При обращении в НКО Субъекты персональных данных предоставляют достоверные сведения. Сотрудники НКО, имеющие доступ к персональным данным вправе проверять достоверность представленных сведений.

 

12.2.2. Все меры конфиденциальности распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

 

12.2.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Субъекта персональных данных на то, что его персональные данные являются общедоступными персональными данными.

 

13.      Ответственность за разглашение информации, содержащей персональные данные субъекта персональных данных

 

13.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с действующим законодательством.

 

13.2. Руководители структурных подразделений НКО, в функции которых входит обработка персональных данных, несут персональную ответственность за нарушение порядка доступа сотрудников данных структурных подразделений НКО и третьих лиц к информации, содержащей персональные данные.

 

13.3. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные субъектов персональных данных , либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

 

13.4. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

 

14. Заключительные положения

 

14.1. Настоящее Положение вступает в силу с момента его утверждения Председателем правления НКО и действует бессрочно, до замены его новым Положением.

 

14.2. Настоящее Положение действует в отношении всех субъектов персональных данных, чьи персональные данные обрабатывает НКО.