Политика в отношении обработки персональных данных
ПОЛОЖЕНИЕ
о защите персональных данных работников
Общества с ограниченной ответственностью «Светлана»-К
1. Общие положения.
1.1. Настоящее Положение разработано в целях защиты персональных данных
работников ООО «Светлана»-К (далее – «Общество») от несанкционированного доступа,
неправомерного использования и утраты.
1.2. Настоящее Положение устанавливает порядок получения, учета, обработки,
хранения персональных данных работников Общества.
1.3. Положение разработано в соответствии с требованиями Трудового кодекса РФ,
Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закона о
персональных данных) и иных нормативно правовых актов, регулирующих использование
персональных данных.
1.4. Персональные данные относятся к категории конфиденциальной информации.
Режим конфиденциальности персональных данных снимается в случаях обезличивания
или по истечении 75 лет срока хранения, если иное не определено законом.
1.5. В Положении устанавливаются:
— цель, порядок и условия обработки персональных данных;
— категории субъектов, персональные данные которых обрабатываются, категории
(перечни) обрабатываемых персональных данных, способы, сроки их обработки и
хранения, порядок уничтожения таких данных при достижении целей обработки или при
наступлении иных законных оснований;
— положения, касающиеся защиты персональных данных, процедуры, направленные
на выявление и предотвращение нарушений законодательства РФ в области персональных
данных, а также на устранение последствий таких нарушений.
1.6. В Положении используются термины и определения в соответствии с их
значениями, определенными в законе о персональных данных.
1.7. К субъектам, персональные данные которых обрабатываются в Обществе в
соответствии с Положением, относятся:
— кандидаты для приема на работу в Общество;
— работники Общества;
— бывшие работники Общества;
— члены семей работников Общества — в случаях, когда согласно законодательству
сведения о них предоставляются работником;
— иные лица, персональные данные которых Общество обязано обрабатывать в
соответствии с трудовым законодательством и иными актами, содержащими нормы
трудового права.
2. Цели обработки персональных данных,
категории (перечни) обрабатываемых персональных данных
2.1. Согласно Положению, персональные данные обрабатываются с целью
применения и исполнения трудового законодательства в рамках трудовых и иных
непосредственно связанных с ними отношений, в том числе:
— при содействии в трудоустройстве;
— ведении кадрового и бухгалтерского учета;
— содействии работникам в получении образования и продвижении по службе;
— оформлении награждений и поощрений;
— предоставлении со стороны Общества установленных законодательством условий
труда, гарантий и компенсаций;
— заполнении и передаче в уполномоченные органы требуемых форм отчетности;
— обеспечении личной безопасности работников;
— осуществлении контроля за количеством и качеством выполняемой работы.
2.2. В соответствии с целью, указанной в п. 2.1 Положения, в Обществе
обрабатываются следующие персональные данные:
— фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество
(при наличии), дата и место их изменения (в случае изменения);
— пол;
— дата (число, месяц, год) и место рождения;
— фотографическое изображение;
— сведения о гражданстве;
— вид, серия, номер документа, удостоверяющего личность, наименование органа,
выдавшего его, дата выдачи;
— страховой номер индивидуального лицевого счета (СНИЛС);
— идентификационный номер налогоплательщика (ИНН);
— адрес и дата регистрации по месту жительства (месту пребывания), адрес
фактического проживания;
— номер контактного телефона, адрес электронной почты и (или) сведения о других
способах связи;
— реквизиты свидетельств о государственной регистрации актов гражданского
состояния и содержащиеся в них сведения;
— сведения о семейном положении, составе семьи (степень родства, фамилии, имена,
отчества (при наличии), даты (число, месяц, год) и места рождения);
— сведения об образовании и (или) квалификации или наличии специальных знаний
(в том числе наименование образовательной и (или) иной организации, год окончания,
уровень образования, квалификация, реквизиты документа об образовании, обучении);
— информация о владении иностранными языками;
— сведения об отношении к воинской обязанности, о воинском учете и реквизиты
документов воинского учета (серия, номер, дата выдачи документа, наименование органа,
выдавшего его);
— сведения о трудовой деятельности, а также информация о предыдущих местах
работы, периодах и стаже работы;
— сведения, содержащиеся в документах, дающих право на пребывание и трудовую
деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
— сведения, содержащиеся в разрешении на временное проживание, разрешении на
временное проживание в целях получения образования (для иностранных граждан,
временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно
проживающих в РФ);
— сведения о доходах, обязательствах по исполнительным документам;
— номера расчетного счета, банковской карты;
— сведения о состоянии здоровья (для отдельных категорий работников);
— сведения о наличии (отсутствии) судимости и (или) факта уголовного
преследования либо о прекращении уголовного преследования по реабилитирующим
основаниям (для отдельных категорий работников);
— иные персональные данные, содержащиеся в документах, представление которых
предусмотрено законодательством, если обработка этих данных соответствует цели
обработки, предусмотренной п. 2.1 Положения;
— иные персональные данные, которые работник пожелал сообщить о себе и
обработка которых соответствует цели обработки, предусмотренной п. 2.1 Положения.
2.3. Общество не осуществляет обработку специальных категорий персональных
данных, касающихся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, интимной жизни, за исключением случаев,
предусмотренных законодательством РФ.
2.4. Из указанного списка работодатель вправе получать и использовать только те
сведения, которые характеризуют гражданина как сторону трудового договора.
3. Требования к обработке персональных данных.
3.1. Обработка персональных данных работника – это любое действие (операция)
или совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными данными, включая
сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных.
3.2. Обработка персональных данных работника осуществляется исключительно в
целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия
в трудоустройстве, обучении и продвижении по службе, обеспечения личной
безопасности, контроля количества и качества выполняемой работы, обеспечения
сохранности имущества.
3.3. Все персональные данные передаются лично работником. Если возможно
получить такие данные лишь у третьей стороны, то работодатель должен не позднее, чем
за 5 рабочих дней до направления запроса уведомить об этом работника и получить его
письменное согласие. Работодатель обязан сообщить работнику о целях и
предполагаемых способах получения его персональных данных, а также о характере
подлежащих получению персональных данных.
3.4. Обработка персональных данных осуществляется с соблюдением принципов и
условий, предусмотренных законодательством в области персональных данных и
настоящим Положением.
3.5. Обработка персональных данных в Обществе выполняется следующими
способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной
информации по информационно-телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных.
3.6. Обработка персональных данных, разрешенных субъектом персональных
данных для распространения, осуществляется с соблюдением запретов и условий,
предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких
персональных данных оформляется отдельно от других согласий на обработку
персональных данных. Согласие предоставляется субъектом персональных данных лично
либо в форме электронного документа, подписанного электронной подписью, с
использованием информационной системы Роскомнадзора.
3.7. Обработка биометрических персональных данных допускается только при
наличии письменного согласия субъекта персональных данных. Исключение составляют
ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
3.8. Общество не осуществляет трансграничную передачу персональных данных.
3.9. Обработка персональных данных осуществляется путем сбора, записи,
систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения,
использования, обезличивания, блокирования, удаления, уничтожения персональных
данных, в том числе с помощью средств вычислительной техники.
3.10. Сбор, запись, систематизация, накопление и уточнение (обновление,
изменение) персональных данных в Обществе осуществляются посредством:
— получения оригиналов документов либо их копий;
— копирования оригиналов документов;
— внесения сведений в учетные формы на бумажных и электронных носителях;
— создания документов, содержащих персональные данные, на бумажных и
электронных носителях;
— внесения персональных данных в информационные системы персональных данных.
3.11. В Обществе используются следующие системы:
— корпоративная электронная почта;
— система электронного документооборота;
— система контроля удаленным доступом;
— сайт Общества.
3.12. Защита персональных данных работника от неправомерного использования и
утраты обеспечивается работодателем за его счет в порядке, установленном законом. Для
обеспечения внутренней защиты персональных данных работников Работодатель
обеспечивает:
— рациональное размещение рабочих мест работников, при котором исключается
бесконтрольное использование защищаемой информации;
— знание работниками требований нормативно-методических документов по защите
информации и сохранении тайны;
— организацию порядка уничтожения информации;
— пропускной режим;
— защиту персональных данных работника на электронных носителях паролем,
который известен только лицам, допущенным к обработке персональных данных.
3.13. Передача (распространение, предоставление, доступ) персональных данных
субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных
законодательством в области персональных данных и Положением.
4. Хранение и доступ к персональным данным.
4.1. Персональные данные каждого работника хранятся на бумажных носителях, а
также в результате автоматизированной обработки на электронном носителе в программе
«1С: Зарплата и управление персоналом КОРП, редакция 3.1».
4.2. Персональные данные на бумажных носителях хранятся в запирающихся
металлических шкафах или сейфах, обеспечивающих защиту от несанкционированного
доступа.
4.3. Доступ к персональным данным имеют работники, назначенные приказом
Генерального директора.
4.4. Внешний доступ к персональным данным работников в сфере своей
компетенции имеют контрольно-надзорные органы, при условии предоставления
документов, являющихся основанием проведения проверки. Страховые,
негосударственные пенсионные фонды, родственники работников не имеют доступа к
персональным данным работников, кроме случаев, когда на это получено
предварительное письменное согласие самого работника.
4.5. Обработка персональных данных в Обществе прекращается в следующих
случаях:
— при выявлении факта неправомерной обработки персональных данных. Срок
прекращения обработки — в течение трех рабочих дней с даты выявления такого факта;
— при достижении целей их обработки, за исключением случаев предусмотренных
законодательством Российской Федерации;
— по истечении срока действия или при отзыве субъектом персональных данных
согласия на обработку его персональных данных, за исключением случаев
предусмотренных законодательством Российской Федерации, если в соответствии с
Законом о персональных данных их обработка допускается только с согласия;
— при обращении субъекта персональных данных к Обществу с требованием о
прекращении обработки персональных данных (за исключением случаев,
предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения
обработки — не более десяти рабочих дней с даты получения требования (с возможностью
продления не более чем на пять рабочих дней, если направлено уведомление о причинах
продления).
4.6. Персональные данные хранятся в форме, позволяющей определить субъекта
персональных данных, не дольше, чем этого требуют цели их обработки. Исключение —
случаи, когда срок хранения персональных данных установлен федеральным законом.
4.7. Персональные данные на бумажных носителях хранятся в Обществе в течение
сроков хранения документов, для которых эти сроки предусмотрены законодательством
об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в
Российской Федерации», Перечень типовых управленческих архивных документов,
образующихся в процессе деятельности государственных органов, органов местного
самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива
от 20.12.2019 N 236)).
4.8. Срок хранения персональных данных, обрабатываемых в информационных
системах персональных данных, соответствует сроку хранения персональных данных на
бумажных носителях.
5. Порядок блокирования и уничтожения персональных данных.
5.1. Общество блокирует персональные данные в порядке и на условиях,
предусмотренных законодательством в области персональных данных.
5.2. При достижении целей обработки персональных данных или в случае утраты
необходимости в достижении этих целей персональные данные уничтожаются либо
обезличиваются. Исключение может предусматривать федеральный закон.
5.3. Ошибочно полученные персональные данные или те, которые не являются
необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня
представления субъектом персональных данных (его представителем) подтверждающих
сведений.
5.4. Персональные данные, обработка которых прекращена из-за ее неправомерности
и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10
рабочих дней с даты выявления неправомерной обработки.
5.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели
обработки, если иное не предусмотрено договором, стороной которого
(выгодоприобретателем или поручителем по которому) является субъект персональных
данных, иным соглашением между ним и Обществом либо если Общество не вправе
обрабатывать персональные данные без согласия субъекта персональных данных на
основаниях, предусмотренных федеральными законами.
5.5.1. При достижении максимальных сроков хранения документов, содержащих
персональные данные, персональные данные уничтожаются в течение 30 дней.
5.6. Персональные данные уничтожаются (если их сохранение не требуется для
целей обработки персональных данных) в течение 30 дней с даты поступления отзыва
субъектом персональных данных согласия на их обработку. Кроме того, персональные
данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без
согласия субъекта персональных данных на основаниях, предусмотренных федеральными
законами.
5.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и
т.п.) и (или) сведений в информационных системах, содержащих персональные данные,
которые подлежат уничтожению, осуществляют подразделения Общества,
обрабатывающие персональные данные.
5.8. Уничтожение персональных данных осуществляет комиссия, созданная
приказом генерального директора.
5.8.1. Комиссия составляет акт с указанием документов, иных материальных
носителей и (или) сведений в информационных системах, содержащих персональные
данные, которые подлежат уничтожению.
5.8.2. Персональные данные на бумажных носителях уничтожаются с
использованием шредера. Персональные данные на электронных носителях уничтожаются
путем механического нарушения целостности носителя, не позволяющего считать или
восстановить персональные данные, а также путем удаления данных с электронных
носителей методами и средствами гарантированного удаления остаточной информации.
5.8.3. Непосредственно после уничтожения персональных данных оформляется акт
об их уничтожении. Форма акта утверждается приказом генерального директора.
6. Права и обязанности работника в области обращения с персональными
данными.
6.1. Работник обязан передавать Работодателю документы, содержащие
персональные данные, перечень которых установлен трудовым и налоговым
законодательством, а также давать согласие на обработку своих персональных данных,
содержащихся в этих и иных документах.
6.2. Работник обязуется незамедлительно сообщать Работодателю об изменении
персональных данных.
6.3. Работник имеет право на:
— получение полной информации о своих персональных данных и их обработке;
— свободный бесплатный доступ к своим персональным данным, включая получение
копии любой записи, их содержащей;
— заявление требования об исключении либо исправлении неполных, недостоверных
персональных данных;
— определение своих представителей для защиты персональных данных;
— обжалование в суде неправомерных действия либо бездействия работодателя при
обработке и защите персональных данных.
7. Защита персональных данных.
7.1. Без письменного согласия субъекта персональных данных Общество не
раскрывает третьим лицам и не распространяет персональные данные, если иное не
предусмотрено федеральным законом.
7.1.1. Запрещено раскрытие и распространение персональных данных субъектов
персональных данных по телефону.
7.2. С целью защиты персональных данных в Обществе приказами генерального
директора назначается (утверждаются):
— работник, ответственный за организацию обработки персональных данных;
— перечень должностей, при замещении которых обрабатываются персональные
данные;
— порядок доступа в помещения, в которых ведется обработка персональных данных;
— форма согласия на обработку персональных данных, форма согласия на обработку
персональных данных, разрешенных субъектом персональных данных для
распространения;
— порядок защиты персональных данных при их обработке в информационных
системах персональных данных;
— порядок проведения внутренних расследований, проверок;
— иные локальные нормативные акты, принятые в соответствии с требованиями
законодательства в области персональных данных.
7.3. Работники, которые занимают должности, предусматривающие обработку
персональных данных, допускаются к ней после подписания обязательства об их
неразглашении.
7.4. Материальные носители персональных данных хранятся в шкафах,
запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются
запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под
подпись.
7.5. Доступ к персональной информации, содержащейся в информационных
системах Общества, осуществляется по индивидуальным паролям.
7.6. В Обществе используется сертифицированное антивирусное программное
обеспечение с регулярно обновляемыми базами.
7.7. Работники Общества, обрабатывающие персональные данные, периодически
проходят обучение требованиям законодательства в области персональных данных.
7.8. В должностные инструкции работников Общества, обрабатывающих
персональные данные, включаются, в частности, положения о необходимости сообщать о
любых случаях несанкционированного доступа к персональным данным.
7.9. В Обществе проводятся внутренние расследования в следующих ситуациях:
— при неправомерной или случайной передаче (предоставлении, распространении,
доступе) персональных данных, повлекшей нарушение прав субъектов персональных
данных;
— в иных случаях, предусмотренных законодательством в области персональных
данных.
7.10. Работник, назначенный приказом генерального директора Общества,
осуществляет внутренний контроль:
— за соблюдением работниками, уполномоченными на обработку персональных
данных, требований законодательства в области персональных данных, локальных
нормативных актов;
— соответствием указанных актов, требованиям законодательства в области
персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
7.10.1. Внутренние плановые проверки осуществляются на основании ежегодного
плана, который утверждается генеральным директором.
7.10.2. Внутренние внеплановые проверки осуществляются по решению работника,
ответственного за организацию обработки персональных данных. Основанием для них
служит информация о нарушении законодательства в области персональных данных,
поступившая в устном или письменном виде.
7.10.3. По итогам внутренней проверки оформляется докладная записка на имя
генерального директора. В случае выявления нарушений в документе приводятся
перечень мероприятий по их устранению и соответствующие сроки
7.11. Внутреннее расследование проводится, если выявлен факт неправомерной или
случайной передачи (предоставления, распространения, доступа) персональных данных,
повлекшей нарушение прав субъектов персональных данных (далее — инцидент).
7.11.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:
— об инциденте;
— его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким
субъектам) персональных данных;
— принятых мерах по устранению последствий инцидента;
— представителе Общества, который уполномочен взаимодействовать с
Роскомнадзором по вопросам, связанным с инцидентом.
7.11.2. В течение 72 часов Общество обязано сделать следующее:
— уведомить Роскомнадзор о результатах внутреннего расследования;
— предоставить сведения о лицах, действия которых стали причиной инцидента (при
наличии).
7.12. В случае предоставления субъектом персональных данных (его
представителем) подтвержденной информации о том, что персональные данные являются
неполными, неточными или неактуальными, в них вносятся изменения в течение семи
рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных
(его представителя) о внесенных изменениях и сообщает (по электронной почте) о них
третьим лицам, которым были переданы персональные данные.
7.13. Общество уведомляет субъекта персональных данных (его представителя) об
устранении нарушений в части неправомерной обработки персональных данных.
Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных
данных (его представителя) либо сам сделал запрос.
7.13.1. В случае уничтожения персональных данных, которые неправомерно
обрабатывались, уведомление направляется в соответствии с п. 7.13 Положения.
7.14. В случае уничтожения персональных данных, незаконно полученных или не
являющихся необходимыми для заявленной цели обработки, Общество уведомляет
субъекта персональных данных (его представителя) о принятых мерах в письменном виде.
Общество уведомляет по электронной почте также третьих лиц, которым были переданы
такие персональные данные.
8. Ответственность за нарушение правил обработки и защиты персональных
данных.
8.1. Лица, виновные в нарушении положений законодательства РФ в области
персональных данных при обработке персональных данных, привлекаются к
дисциплинарной и материальной ответственности в порядке, установленном Трудовым
кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к
административной, гражданско-правовой или уголовной ответственности в порядке,
установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие
нарушения его прав, нарушения правил обработки персональных данных, а также
несоблюдения требований к их защите, установленных Законом о персональных данных,
подлежит возмещению в соответствии с законодательством РФ. Возмещение морального
вреда осуществляется независимо от возмещения имущественного вреда и понесенных
субъектом персональных данных убытков.
9. Заключительные положения.
9.1. Настоящее Положение и изменения к нему утверждаются приказом
генерального директора Общества.
9.2. Все работники Общества должны быть ознакомлены с настоящим Положением и
изменениям к нему.
9.3. Положение вступает в силу с момента его утверждения генеральным директором
и действует до его отмены приказом генерального директора или до введения нового
Положения.
9.4. Внесение изменений в Положение производится приказом генерального
директора. Изменения вступают в силу с момента подписания соответствующего приказа.