Особенности обработки персональных данных без использования средств автоматизации
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных носителях.
Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки каждой категории персональных данных должен использоваться отдельный бумажный носитель.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна проводиться таким образом, чтобы обеспечивать раздельное хранение персональных данных разных целей обработки.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Права субъектов персональных данных
Субъект, ПДн которого обрабатываются в Банке, имеет право:
получать доступ к своим Персональным данным и ознакомляться с ними, включая право на безвозмездное получение копий любой записи, содержащей его ПДн;
требовать от Банка уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Банка, ПДн (Приложение №3, если иная форма заявления не утверждена Правлением Банка по соответствующей Программе/Услуге Банка);
требовать от Банка прекращения Обработки ПДн и уничтожения ПДн, при достижении целей Обработки (Приложение №2, если иная форма заявления не утверждена Правлением Банка по соответствующей Программе/Услуге Банка);
требовать извещения Банком всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
обжаловать в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке неправомерные действия или бездействия Банка при Обработке и защите его ПДн.
При обращении Субъекта, ПДн которого обрабатываются в Банке, Субъект имеет право получить от Банка:
подтверждение факта обработки ПДн, а также цель такой обработки;
сведения о лицах, которые имеют доступ к Персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых ПДн и источник их получения;
сроки Обработки ПДн, в том числе сроки их хранения;
сведения о том, какие юридические последствия для Субъекта ПДн может повлечь за собой Обработка его ПДн.
Обращения Субъектов ПДн принимаются только в письменном виде от самих Субъектов ПДн или их законных представителей. Обращения принимаются при предъявлении и проверке документа удостоверяющего личность или по почте. Все Обращения Субъектов ПДн или их законных представителей регистрируются в журнале «Учета входящей документации»:
работниками Канцелярии;
работниками БО;
работниками РП.
В журнале указывается:
дата регистрации;
регистрационный номер обращения;
наименование отправителя;
краткое содержание обращения;
фамилия исполнителя.
Обращение должно содержать номер документа, удостоверяющего личность Субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, собственноручную подпись Субъекта ПДн или его законного представителя и способ желаемого получения ответа (заказное письмо с уведомлением о вручении, электронное письмо, по факсимильной связи). Образец Обращения Субъектов ПДн или их законных представителей по вопросам обработки ПДн приведен в Приложении №4. Принятые Обращения передаются работникам структурных подразделений Банка в Канцелярию. При поступлении запроса из РКН по вопросам, связанным с обработкой ПДн, сразу после регистрации его в журнале «Учета входящей документации» следует незамедлительно передать в Отдел информационной безопасности СЭБ для своевременной подготовки ответа.
При поступлении Обращения, направленного в Банк по почте, от Субъекта ПДн или его законного представителя по вопросам обработки ПДн подлинность подписи автора Обращения должна быть заверена нотариально. Если подлинность подписи Субъекта ПДн или его законного представителя в Обращении нотариально не удостоверена, то сотрудник Канцелярии готовит ответа в адрес автора Обращения, предварительно устанавливая контакт по телефону с Субъектом ПДн или его законным представителем и сообщает информацию о необходимости нотариальной заверки Обращения. В случае если Субъект ПДн или его законный представитель настаивает на письменном ответе, то сотрудник Канцелярии готовит ответ в адрес Субъекта ПДн или его законного представителя об отказе в предоставлении сведений, запрошенных в Обращении.
Обработка Обращений осуществляется ответственными сотрудниками Банка в соответствии с установленным порядком документооборота.
В случае получения из Концелярии обращения либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных Ответственный за обеспечение безопасности персональных данных Ьанка обязан:
Зарегистрировать запрос в Журнале учета обращений субъектов персональных данных в установленном порядке;
Рассмотреть возможность предоставления персональных данных либо выполнения других действий по запросу и принять решение относительно их предоставления либо выполнения требуемых действий;
В случае положительного решения о предоставлении персональных данных, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту персональных данных, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с даты получения запроса;
В случае отказа в предоставлении персональных данных, дать в письменной форме мотивированный ответ, содержащий ссылку на соответствующие положения федерального законодательства РФ, являющиеся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня;
Предоставить Субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему Субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении Субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему Субъекту и обработку которых осуществляет Банк, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах следует уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого Субъекта были переданы;
Сообщить в РКН по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса;
В случае выявления недостоверных персональных данных или неправомерных действий с ними инициировать процедуру блокирования персональных данных, относящихся к соответствующему Субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки;
В случае подтверждения факта недостоверности персональных данных на основании документов, представленных Субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов следует уточнить персональные данные и снять их блокирование;
В случае выявления неправомерных действий с персональными данными Банк в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Банк обязан уведомить Субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае достижения цели обработки персональных данных следует незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав Субъектов персональных данных, также указанный орган;
В случае отзыва Субъектом персональных данных согласия на обработку своих персональных данных следует прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением с субъектом персональных данных. Об уничтожении персональных следует уведомить Субъекта персональных данных.
|
