Положение
о персональных данных
1. Общие положения
1.1. Настоящее Положение принято в ООО "Промфасад" (далее — общество) для обеспечения сохранности и конфиденциальности персональных данных работников общества, персональных данных представителей/работников клиентов и контрагентов, а также в целях регламентации порядка работы с персональными данными в ООО "Промфасад"
1.2. Настоящее Положение разработано в соответствии с Трудовым Кодексом Р Ф, Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», законодательными актами Российской Федерации.
1.3. Настоящее Положение обязательно для соблюдения всеми работниками общества.
1.4. Настоящее Положение вступает в действие с момента утверждения его приказом руководителя общества и действует до утверждения нового Положения.
1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом руководителя общества.
1.6. Основные понятия, используемые в настоящем Положении:
1.6.1. Персональные данные (далее ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.6.2. Оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.6.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования.
1.6.4. Субъекты персональных данных: работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников; контрагенты оператора (физические лица); представители/работники клиентов и контрагентов оператора (юридических лиц).
1.6.5. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
2. Критерии отнесения информации к персональным данным
2.1. К персональным данным относятся:
1. Фамилия, имя, отчество, дата и место рождения, гражданство.
2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).
3. Информация о владении иностранными языками, степень владения.
4. Сведения об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).
5. Сведения об ученой степени, ученом звании (дата присвоения, номера дипломов, аттестатов).
6. Сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т. п.).
7. Государственные награды, иные награды и знаки отличия (кем награжден и когда).
8. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
8. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
9. Информация о государственных наградах, иных наградах и знаках отличия (кем и когда награжден).
10. Пребывание за границей (когда, где, с какой целью).
11. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей).
12. Адрес регистрации и фактического проживания.
13. Дата регистрации по месту жительства.
14. Паспортные данные (серия, номер, кем и когда выдан).
15. Номера телефонов.
16. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу).
17. Идентификационный номер налогоплательщика.
18. Номер страхового свидетельства обязательного пенсионного страхования.
19. Номера расчетных счетов, банковских карт.
20. Сведения о наличии/отсутствии судимости.
21. Сведения о допуске к государственной тайне, оформленном за период работы, службы, учебы (форма, номер и дата).
22. Результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.
23. Сведения о доходах (в том числе с предыдущих мест работы), имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов семьи.
24. Характеристики, которые идентифицируют физиологические особенности человека и на основе которых можно установить его личность.
25. Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения).
26. Фотографии.
2.2. Достоверность персональных данных определяется исходя из их изначального размещения в таких документах, как:
— паспорт или иной источник, удостоверяющий личность;
— трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев, когда общество является для работника первым работодателем);
— свидетельство пенсионного страхования;
— военный билет и иные документы воинского учета;
— диплом об образовании;
— свидетельство о наличии ИНН.
Уполномоченные сотрудники общества обеспечивают проверку вышеперечисленных документов, содержащих персональные данные, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.
3. Операции с персональными данными
3.1. Настоящее Положение устанавливает, что общество осуществляет следующие операции с персональными данными работников:
— получение (сбор);
— обработка;
— передача;
— блокирование;
— хранение;
— ликвидация.
3.2. Под получением (сбором) персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах.
Сбор персональных данных осуществляется в пределах необходимой информации для обеспечения цели обработки персональных данных
3.3. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом общества.
Цели обработки персональных данных: обеспечение соблюдения законодательных и иных нормативных правовых актов РФ, локальных нормативных актов общества, представлением персональных данных в налоговые органы, пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный Фонд обязательного медицинского страхования, а так же в иные государственные органы; регулирование трудовых отношений с работниками общества (трудоустройство, контроль количества и качества выполняемой работы, обеспечение сохранности имущества общества; предоставления работникам общества и членам их семей дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, негосударственного пенсионного обеспечения и других видов социального обеспечения; подготовки, заключения, исполнения и прекращения договоров с контрагентами; исполнения судебных актов, актов иных государственных органов; иные не противоречащие закону цели.
3.4. Под передачей персональных данных понимается операция:
— по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют работники общества либо третьи лица;
— по размещению персональных данных в источниках внутрикорпоративного документооборота в рамках осуществления деятельности общества;
— по опубликованию в интересах общества персональных данных о работнике в СМИ или на серверах Интернета в соответствии с нормами законодательства Российской Федерации.
3.5. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах общества, в случаях, предусмотренных положениями локальных правовых актов общества и законодательства Российской Федерации.
3.6. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах общества.
3.7. Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем общества, а также обеспечению невозможности их восстановления.
4. Порядок осуществления операций с персональными данными
4.1. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно, от работников общества, от лиц, взаимодействующих с обществом в связи с осуществлением деятельности общества, представители/работники клиентов и контрагентов. В случае, если предоставление соответствующих данных возможно только от третьих лиц, то работник/иное лицо должен дать письменное согласие на это.
Общество должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
Общество не вправе требовать от субъекта персональных данных представления персональных данных, которые будут избыточны для целей обработки, которые преследует Общество.
Субъект персональных данных представляет Обществу достоверные сведения о себе.
4.2. Обработка персональных данных работника может осуществляться только с его письменного согласия, за исключением тех случаев, что предусмотрены пп. 2−11 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент. Для этого необходимо направить в Общество письменное уведомление об отзыве согласия. В случае отзыва согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия при наличии оснований, установленных действующим законодательством.
4.3. Общество не имеет права требовать и получать персональные данные от субъекта ПДн, отражающие личные аспекты его жизни, религиозные, политические, философские взгляды.
4.4. Передача персональных данных осуществляется с учетом специфики конкретной информационной системы:
— в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;
— в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников общество, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным правовым актом.
При передаче Обществом персональных данных, субъект персональных данных должен дать на это согласие в письменной или электронной форме. Если субъект оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.
Общество вправе передать информацию, которая относится к персональным данным, без согласия субъекта персональных данных, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
Общество не вправе распространять персональные данные третьим лицам без согласия субъекта персональных данных на передачу таких данных.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются Обществом без права распространения.
В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что он не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Общество обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Обществом неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Общества в установлении субъектом персональных данных запретов и условий не допускается.
. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.
Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Обществу указанного требования.
4.5. Блокирование персональных данных осуществляется с учетом специфики конкретной информационной системы:
— в цифровой информационной системе блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты;
— в информационной системе на основе бумажных носителей блокирование данных осуществляется посредством закрытия доступа к соответствующей информационной системе для определенных групп работников.
4.6. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы:
— в цифровой информационной системе хранение данных осуществляется на ПК отдела кадров общества, а также на облачных серверах;
— в информационной системе на основе бумажных носителей хранение данных осуществляется в архиве отдела кадров.
Общество обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты. Персональные данные субъектов персональных данных хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные субъектов персональных данных, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются руководителем общества и сообщаются индивидуально работникам, имеющим доступ к персональным данным субъектов персональных данных. Изменение паролей производится руководителем общества не реже одного раза в два месяца. Копировать и делать выписки из персональных данных субъектов персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя общества.
4.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной информационной системы:
— в цифровой информационной системе ликвидация данных осуществляется посредством их удаления с ПК отдела кадров общества, а также серверов;
— в информационной системе на основе бумажных носителей ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.
5. Организация доступа к персональным данным
5.1. Доступ к персональным данным лиц, взаимодействующих с обществом в связи с осуществлением деятельности общества, в частности представители/работники клиентов и контрагентов имеют:
- директор общества;
- отдел менеджмента;
- секретариат общества;
- бухгалтерия
5.2. Доступ к персональным данным работников общества, не подлежащий ограничению, имеют:
- директор общества;
- секретариат общества;
- бухгалтерия;
- работники, предоставившиеобществу свои персональные данные.
5.3. Доступ к персональным данным для иных лиц может быть разрешен только отдельным распоряжением руководителя общества.
6. Обязанности работников, имеющих доступ
к персональным данным
6.1. Работники общества и другие лица, имеющие доступ к персональным данным, обязаны:
— осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, иными локальными нормативными актами общества, регулирующими операции с ПДн, а также действующим законодательством Российской Федерации;
— информировать своего непосредственного руководителя о нештатных ситуациях, связанных с операциями с персональными данными;
— обеспечивать конфиденциальность операций с персональными данными;
— обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.
7. Права субъектов персональных в части осуществления операций
с персональными данными
7.1.Субъект персональных данных, передавший обществу свои персональные данные, имеет право:
— на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;
— на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;
— требовать от общества дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат его интересам, осуществляются незаконно, а также в случае, если персональные данные недостоверны;
— получать от общества информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;
— получать от общества информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе общества.
7.2. Работники общества, имеющие доступ к персональным данным, имеют право:
— на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;
— на получение консультационной поддержки со стороны руководства и других компетентных работников в части осуществления операций с персональными данными;
- на отдачу распоряжений и направление предписаний работникам, передающим персональными данные обществу, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.
8. Гарантии конфиденциальности персональных данных
8.1. Информация, относящаяся к персональным данным субъекта персональных данных, является служебной тайной и охраняется законом.
8.2. Субъект персональных данных вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
8.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
положений законодательства Российской Федерации.
