Положение об обработке и защите персональных данных
1. Общие положения
1.1. Положение об обработке и защите персональных данных (далее – Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона № 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами Российской Федерации, действующими в сфере защиты персональных данных.
1.2. Настоящим Положением определяется порядок работы с персональными данными следующих физических лиц, которые обрабатываются обществом с ограниченной ответственностью «НИТА-ФАРМ» (ООО «НИТА-ФАРМ») (далее – Оператор, Компания), в связи с осуществлением его деятельности:
• физические лица, являющиеся соискателями на вакантные должности,
• физические лица, работники, заключившие трудовые договора с Оператором/бывшие работники,
• физические лица, заключившие договора гражданско-правового характера
• иные физические лица, выразившие согласие на обработку Оператором их персональных данных (посетители сайта Компании, доверенные лица Компании и др.),
далее – Субъекты персональных данных.
1.3.Цели настоящего Положения:
• обеспечение законности сбора и определение порядка обработки персональных данных Субъектов персональных данных
• регулирования трудовых отношений с работниками Оператора (оформление трудовых отношений, обучение и продвижение по службе, формирование кадрового резерва, обеспечение личной безопасности, контроль количества и качества выполняемой работы, осуществление трудовой функции и оплаты труда)
• обеспечение защиты прав и свобод Субъектов персональных данных при обработке их персональных данных
• установление ответственности должностных лиц, имеющих доступ к персональным данным, за необеспечение реализации требований законодательства РФ в области обработки персональных данных
• обеспечение пропускного и внутриобъектового режимов на объектах Оператора
• осуществление Оператором своей деятельности
• выполнение условий договоров с контрагентами.
Задачи, решаемые в процессе обработки персональных данных:
• документированное обеспечение обработки персональных данных
• обеспечение достаточными и эффективными мерами защиты документированной информации, содержащей персональные данные от несанкционированного доступа, искажения, уничтожения, а также обеспечение доступности владельцев к своим персональным данным
• обеспечение своевременного предотвращения нарушений законодательства Российской Федерации в области защиты персональных данных, оперативное выявление имеющих место нарушений и устранение последствий таких нарушений.
1.4. Настоящее Положение является обязательным для исполнения всеми работниками Оператора, работающими по трудовому договору, непосредственно осуществляющими обработку и имеющими доступ к персональным данным Субъектов персональных данных или на иных законных основаниях в порядке и на условиях, предусмотренных настоящим Положением.
1.5. Субъекты персональных данных должны быть ознакомлены с настоящим положением: под роспись - соискатели на вакантные должности, работники/бывшие работники Оператора, физические лица, заключившие договора гражданско-правового характера, иные лица – на сайте Компании.
1.6.Вопросы, связанные с обработкой и защитой персональных данных Субъектов персональных данных, не нашедшие отражения в настоящем Положении, регулируются действующим законодательством или иными локальными актами Работодателя
2. Термины и определения
2.1. В настоящем Положении используются следующие термины и определения:
• персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу – Субъекту персональных данных
• Оператор – юридическое лицо, самостоятельно осуществляющее обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
• конфиденциальность персональных данных – обязательное для соблюдения Работниками, получившими доступ к персональным данным, требование не допускать их распространения без огласки субъекта персональных данных или иного законного основания
• обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных
• защита персональных данных – деятельность уполномоченных лиц по обеспечению регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения
• распространение персональных данных - действия, направленные на передачу персональных данных Субъектов персональных данных определенному кругу лиц или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных Субъектов персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или представление доступа к персональным данным работников каким-либо иным способом
• использование персональных данных - действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Компании в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц
• блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи
• уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных или в результате которых уничтожаются материальные носители персональных
• обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному Субъекту персональных данных
• общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности
• информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
• биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.
3. Состав персональных данных
3.1. В целях, указанных в пункте 1.3 настоящего Положения, Оператором обрабатываются следующие персональные данные следующих Субъектов персональных данных:
|
Персональные данные, подлежащие обработке |
Субъекты персональных данных |
|
||||
|
Соискатели на вакантные должности |
Работники, бывшие работники |
Лица, заключившие ГПД |
Иные лица |
|||
|
|
|
|||||
|
Анкета и материалы по проведению собеседований с соискателем на вакансию |
+ |
|
|
|
||
|
Фамилия, имя, отчество |
+ |
+ |
+ |
+ |
||
|
Фамилия, имя отчество при рождении в случае их изменения |
+ |
+ |
|
|
||
|
День, месяц и год рождения |
+ |
+ |
|
|
||
|
Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) |
+ |
+ |
+ |
+ |
||
|
Гражданство |
+ |
+ |
|
|
||
|
Пол |
+ |
+ |
|
|
||
|
Адрес и дата регистрации места жительства по паспорту |
+ |
+ |
+ (без даты регистрации) |
|
||
|
Адрес фактического места проживания |
+ |
+ |
|
|
||
|
Номера мобильного и домашнего телефонов, адрес электронной почты |
+ |
+ |
+ |
+ |
||
|
Сведения об образовании, квалификации, наличии специальных знаний или специальной подготовки (серия, номер и дата диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и месторасположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень) |
+ |
+ |
|
|
||
|
Степень владения иностранными языками |
+ |
+ |
|
|
||
|
Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местонахождение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения) |
+ |
+ |
|
|
||
|
Сведения о трудовой деятельности (данные о периодах работы, наименование организации, наименование должности/профессии, должностные обязанности, причина увольнения) |
+ |
+ |
|
|
||
|
Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на(с) учет(а) и другие сведения) |
+ |
+ |
|
|
||
|
Сведения о семейном положении и членах его семьи (состояние в браке, копия свидетельства о заключении брака, фамилия, имя, отчество, год рождения, место работы, должность, адрес проживания супруга(и), наличие детей) |
+ |
+ |
|
|
||
|
Сведения о номере страхового свидетельства государственного пенсионного страхования (СНИЛС) |
+ |
+ |
+ |
|
||
|
Свидетельство или сведения о присвоении идентификационного номера налогоплательщика (ИНН) - при его наличии |
+ |
+ |
+ |
|
||
|
Данные о трудовом договоре (№ трудового договора, дата его заключения (окончания), вид работы, срок действия трудового договора, наличие испытательного срока, режим труда, длительного ежегодного основного (при наличии дополнительного) оплачиваемого отпуска(ов), права и обязанности сторон трудового договора, дополнительные социальные льготы и гарантии, № и дата изменения к трудовому договору, характер работы, оплата труда, условия труда, продолжительность рабочей недели, |
|
+ |
|
|
||
|
Трудовые книжки и вкладыши к ним сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней |
|
+ |
|
|
||
|
Карточка формы Т-2 «Личная карточка работника» |
|
+ |
|
|
||
|
Личные дела работников на бумажных носителях |
|
+ |
|
|
||
|
Сведения, указанные в оригиналах и копиях приказов по персоналу Компании и материалах к ним, в том числе информация об отпусках, о командировках и т.п. |
|
+ |
|
|
||
|
Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) работников Компании |
+ |
+ |
|
|
||
|
Сведения о заработной плате (номера счетов для расчета с работниками, в том числе номера их банковских карточек) |
|
+ |
|
|
||
|
Сведения о выплачиваемых суммах по гражданско-правовым договорам |
|
|
+ |
|
||
|
Материалы по аттестации, анкетированию, тестированию и оценке работников Компании |
|
+ |
|
|
||
|
Материалы по внутренним служебным расследованиям в отношении работников Компании |
|
+ |
|
|
||
|
Сведения о временной нетрудоспособности Субъекта персональных данных Компании |
|
+ |
|
|
||
|
Табельный номер Субъекта персональных данных Компании |
|
+ |
|
|
||
|
Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения) |
+ |
+ |
|
|
||
|
Сведения о работе на должностях госслужбы |
+ |
+ |
|
|
||
|
Справка формы 2-НДФЛ |
|
+ |
|
|
||
|
Справка для исчисления пособия по временной нетрудоспособности |
|
+ |
|
|
||
|
Результаты медицинских обследований в рамках требований действующего законодательства |
+ |
+ |
|
|
||
|
Биометрические персональные данные |
|
|||||
|
Фотография |
+ |
+ |
|
|
||
|
Видеосъемка |
+ |
+ |
|
|
||
Примечание: «+» - подлежит обработке
3.2. До подписания трудового договора Работник письменно уведомляется о том, что на территории Компании ведется видеосъёмка. В тех случаях, когда система видеонаблюдения позволяет отслеживать деятельность сотрудников на рабочем месте или в иных помещениях, закрытых для общего доступа, такое наблюдение будет считаться обработкой персональных данных.
4. Конфиденциальность персональных данных
4.1 Все персональные данные являются конфиденциальными, за исключением общедоступных персональных данных. Распространение конфиденциальных персональных данных не допускается без согласия Субъекта персональных данных.
4.2 Все меры конфиденциальности при сборе, обработке и хранении персональных данных Субъектов персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.3 Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, и иных случаях, предусмотренных законодательством.
5. Требования к обработке персональных данных
5.1. Все персональные данные Субъекта персональных данных Оператору следует получать у него самого. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку. Согласие на обработку персональных данных оформляется в письменном виде.
Формы согласия Субъектов персональных данных на обработку персональных данных приведены в приложениях №№1, 2, 3 к настоящему Положению:
• приложение №1 – согласие на обработку персональных данных соискателей на работу
• приложение №2 -- согласие на обработку персональных данных работников при приеме на работу
• приложение №3 -- согласие на обработку персональных данных контрагентов (исполнителей).
5.2. Оператор не имеет права получать и обрабатывать персональные данные Субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.3. Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных в письменной форме (приложение №4).
5.4. В случае недееспособности либо несовершеннолетия Субъекта персональных данных все персональные данные следует получать от его законных представителей: родителей, опекунов, попечителей.
5.5. Если персональные данные Субъекта персональных данных можно получить только у третьей стороны, то Субъект персональных данных должен быть уведомлен об этом не менее чем за три рабочих дня (приложение №5) и от него должно быть получено письменное согласие/отказ (приложение №6), которое Субъект персональных данных должен дать в течении пяти рабочих дней с момента получения соответствующего уведомления.
5.6. Обработка персональных данных Субъектов персональных данных возможна без их согласия в следующих случаях:
• персональные данные являются общедоступными (н.п., регистрация и отправка корреспонденции почтовой связью, оформление разовых пропусков)
• обработка персональных данных Субъекта персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника и/или других лиц и получение согласия субъекта персональных данных невозможно
• по требованию полномочных государственных органов в случаях, предусмотренных федеральными законами
• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных
• обработка персональных данных осуществляется в случаях, предусмотренных трудовым договором, правилами внутреннего трудового распорядка, а также локальными актами Оператора, принятыми в порядке, установленном статьями 5,8,12 Трудового кодекса РФ;
• обработка персональных данных близких родственников Субъектов персональных данных (работников Компании) осуществляется в объеме, предусмотренном унифицированной формой № Т-2, утвержденной приказом заместителя генерального директора ООО «НИТА-ФАРМ» от 29.12.2011 г. №11/одк,, либо в случаях установленных законодательством Российской Федерации (получение алиментов, оформление социальных выплат), в иных случаях, получение согласия близких родственников субъекта персональных данных является обязательным условием обработки их персональных данных
• если обработка персональных данных Субъектов персональных данных ведется при осуществлении пропускного режима на территорию зданий и помещений Оператора, при условии, что организация пропускного режима осуществляется Оператором самостоятельно, либо если указанная обработка соответствует порядку, предусмотренному локальными актами Оператора.
5.7. Доступ к своим персональным данным предоставляется Субъекту персональных данных или его законному представителю Оператором при получении письменного запроса субъекта персональных данных или его законного представителя. Письменный запрос должен быть адресован на имя руководителя Компании или уполномоченного им лицу (приложение № 7).
5.8. Субъект персональных данных имеет право обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке и защите его персональных данных.
6. Порядок получения и обработки персональных данных
6.1. Получение персональных данных осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области трудовых отношений, Положением об обработке и защите персональных данных и приказами Оператора на основе Согласия субъектов на обработку их персональных данных.
6.2. Документы, содержащие персональные данные субъектов персональных данных, создаются путём:
• отбора соискателей на вакантные должности
• создания комплекса документов, сопровождающих процесс оформления трудовых отношений с Субъектом персональных данных при приеме, переводе или увольнении методом внесения сведений в учётные формы
• копирования оригиналов документов Субъектов персональных данных
• получения оригиналов документов Субъектов персональных данных
• оформления гражданско-правовых договоров
• заполнения электронных/бумажных форм, содержащих персональные данные
6.3. Персональные данные Субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
6.4. Субъект персональных данных - Соискатель на вакантную должность, в процессе отбора на вакантную должность заполняет заявление-согласие на обработку персональных данных и анкету соискателя. Анкета соискателя представляет собой перечень вопросов и содержит персональные данные Субъекта персональных данных. В случае необходимости уточнения или получения дополнительной информации по информации, изложенной в анкете, Оператор, с письменного согласия Кандидата, имеет право направлять запросы по его прежним местам работы.
6.4.1. Оператор имеет право осуществлять обработку персональных данных соискателей на работу без их согласия в следующих случаях:
• если от имени соискателя действует кадровое агентство, с которым Субъект персональных данных заключил соответствующий договор
• когда соискатель самостоятельно разместил свое резюме в сети Интернет, и оно стало доступно неограниченному кругу лиц.
6.4.2. При поступлении в адрес Оператора резюме, составленного в произвольной форме, при которой не представляется возможным однозначно определить физическое лицо, которое его направило, данное резюме уничтожается в день поступления.
6.4.3. В случае принятия положительного решения о трудоустройстве соискателя на вакантную должность, оригинал анкеты, результаты тестирования и иные документы, полученные в результате отбора, передаются в отдел кадров и хранятся в личном деле Субъекта персональных данных.
6.4.4. Анкеты соискателей не прошедших отбор, уничтожаются по истечении 90 календарных дней с даты закрытия вакансии.
6.5. При трудоустройстве на работу Субъект персональных данных – Работник, обязан предъявить следующие документы:
• паспорт или иной документ, удостоверяющий личность
• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам
• страховое свидетельство государственного пенсионного страхования
• документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету
• документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки
• свидетельство о присвоении ИНН (при наличии)
• иные документы в соответствии с требованиями действующего законодательства и заполнить заявление-согласие на обработку персональных данных.
6.5.1. На каждого Работника Оператора заводится и ведется личное дело на бумажных носителях, в которое в процессе трудовой деятельности Работника подшиваются оригиналы/копии документов, регламентирующие его трудовую деятельность. Все документы, поступающие в личное дело, располагаются в хронологическом порядке.
6.5.2. Персональные данные Работника заносятся в электронные справочники программы 1С: Предприятие 8.2. и хранятся в электронном виде в локальной компьютерной сети, в персональных компьютерах работников Оператора, имеющих доступ к обработке персональных данных.
6.5.3. После увольнения Работника его личное дело на бумажных носителях хранится в архиве отдела кадров Оператора в течении сроков, определенных действующим законодательством.
6.6. В процессе осуществления хозяйственной деятельности Оператор оформляет гражданско-правовые договора с Субъектами персональных данных – Исполнителями:
• до подписания гражданско-правового договора Исполнитель заполняет заявление-согласие на обработку персональных данных, для заключения гражданско-правового договора предоставляет оригинал паспорта, СНИЛС, ИНН (при наличии), сведения об адресе регистрации, контактный телефон.
6.7. Иные лица (посетители сайта Компании, доверенные лица и др.) представляют персональные данные способами, не противоречащими законодательству РФ, локальным актам Оператора и требованиям международного законодательства о защите персональных данных.
7. Доступ к персональным данным
7.1 Порядок доступа к персональным данным Субъектов персональных данных (внутренний доступ):
К обработке персональных данных допускаются уполномоченные в установленном порядке работники Оператора, с которыми заключено Обязательство о неразглашении персональных данных работников (приложение №8) или дополнительное соглашение к трудовому договору о допуске к обработке персональных данных.
7.2. Конкретный перечень лиц, получающих доступ к персональным данным и осуществляющих их обработку, утверждается приказом заместителя генерального директора и хранится в отделе кадров.
7.3. Доступ к персональным данным Субъектов персональных данных имеют только те работники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых функций.
7.4 В случае случайного получения персональных данных неуполномоченным лицом, с ним также должно быть заключено обязательство о неразглашении персональных данных.
Умышленное получение персональных данных неуполномоченными лицами является основанием для привлечения к ответственности, предусмотренной законодательством Российской Федерации.
7.5. Работники Оператора, имеющие доступ к персональным данным Субъектов персональных данных, обязаны:
• обеспечивать хранение информации, содержащей персональные данные Субъектов персональных данных, исключающее доступ к ним третьих лиц. В случае отсутствия Работника Оператора на его рабочем месте не должно быть документов, содержащих персональные данные Субъектов персональных данных («политика чистых столов»)
• в случае длительного отсутствия на своем рабочем месте, Работник Оператора обязан передать документы и иные носители, содержащие персональные данные Субъектов персональных данных, лицу, на которое будет возложено исполнение его трудовых обязанностей.
7.6. Доступ к автоматизированной информационной системе Оператора разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.
7.7. Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной информационной системе. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.
Запрещается использование для доступа к автоматизированной информационной системе Оператора учетных записей других пользователей.
Созданием, удалением и изменением учетных записей пользователей автоматизированной информационной системы занимаются уполномоченные системные администраторы в соответствии с их должностными обязанностями.
7.8. Внешний доступ к персональным данным субъектов персональных данных имеют следующие государственные и негосударственные функциональные структуры:
• налоговые инспекции
• правоохранительные органы
• органы статистики
• страховые агентства
• военкоматы
• органы социального страхования
• пенсионные фонды
• подразделения муниципальных органов управления.
8. Порядок хранения и защиты персональных данных
8.1 Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
8.2 Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.
8.3. Порядок хранения персональных данных на бумажных носителях:
8.3.1 Все персональные данные на бумажных носителях хранятся в недоступном для неуполномоченных лиц местах, в специально отведенных для этих целей сейфах, железных или иных запирающихся на замок шкафах.
Ключи от сейфов и шкафов хранятся у руководителей структурных подразделений, в период их отсутствия – у лиц, их замещающих.
8.4. Порядок хранения персональных данных в электронном виде:
8.4.1. В электронном виде персональные данные хранятся в локальной компьютерной сети Оператора с использованием специализированного программного обеспечения, отвечающего требованиям безопасности, в архивных копиях, в электронных папках и файлах в персональных компьютерах сотрудников Компании, допущенных к обработке персональных данных.
8.4.2. Защита доступа к электронным базам данных, содержащим персональные данные, обеспечивается:
• использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Компании.
• разграничением прав доступа с использованием учетной записи.
8.4.3. Все электронные папки и файлы, содержащие персональные данные, защищаются паролем, который устанавливается ответственным за персональный компьютер сотрудником Компании.
8.5. Защита персональных данных
8.5.1 Под защитой персональных данных понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
8.5.2. Сотрудники Оператора, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
8.5.3 Помещения, в которых хранятся материальные носители, содержащие персональные данные Субъектов персональных данных, оборудуются надежными замками и сигнализацией, в рабочее время при отсутствии в них лиц, уполномоченных на получение, обработку, хранение, передачу и другое использование персональных данных, должны быть закрыты.
8.6. Внешняя защита.
Для защиты информации, относящейся к персональных данных, в Компании создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией.
Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Оператора.
8.7. Защита персональных данных Субъектов персональных данных от неправомерного их использования или утраты обеспечивается Оператором за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации.
9. Передача персональных данных
9.2. При передаче персональных данных Субъекта персональных данных в пределах Компании, другим организациям, государственным органам или отдельным лицам Оператор обязан соблюдать следующие требования:
• не сообщать персональные данные Субъекта персональных данных третьей стороне без письменного согласия Субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья Субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации
• не сообщать персональные данные Субъекта персональных данных в коммерческих целях без его письменного согласия
• предупредить лиц, получающих персональные данные Субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены и требовать от этих лиц подтверждения того, что это правила соблюдено. Лица, получающие персональные данные Субъекта персональных данных обязаны соблюдать режим конфиденциальности.
9.4. Защита доступа к электронным базам данных, содержащим персональные данные, обеспечивается:
• использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Компании.
• разграничением прав доступа с использованием учетной записи.
9.5. Уполномоченные должностные лица Оператора имеют право передавать персональные данные Работника представителям работников в порядке, установленном Трудовым кодексом и иными федеральными законами, и ограничивать эту информацию только теми данными работника, которые необходимы для выполнения указанными представителями их функций.
10. Права и обязанности Оператора
10.1. Оператор имеет право:
• осуществлять передачу персональных данных в пределах одной организации в соответствии с данным Положением, с которым Субъекты персональных данных ознакомлены под роспись
• передавать персональные данные Субъекта персональных данных его представителю в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанным представителем его функций.
10.2. Оператор обязан:
• осуществлять защиту персональных данных Субъектов персональных данных
• обеспечить хранение первичной учетной документации по учету труда и его оплаты, к которой, в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с работниками по оплате труда и др. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные
• осуществлять заполнение документации, содержащей персональные данные субъектов персональных данных, в соответствии с формами первичной учетной документации по учету труда и его оплаты, утвержденными приказом Оператора
• по письменному заявлению Работника/бывшего Работника не позднее трех дней со дня подачи заявления выдавать последнему копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки. справки о заработной плате, периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
11. Права и обязанности Субъекта персональных данных
11.1. В целях обеспечения защиты персональных данных, хранящихся у Оператора, Субъект персональных данных имеет право:
• на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных
• на полную информацию о своих персональных данных, кто и в каких целях использовал или использует его персональные данные
• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом. Сведения о наличии персональных данных должны быть предоставлены Субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных
• на получение информации, подтверждающей факт обработки персональных данных, способах обработки, о лицах, имеющих доступ к персональным данным, о сроках обработки персональных данных и о юридических последствиях обработки персональных данных
• определить своих представителей для защиты своих персональных данных
• требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона;
• требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
• требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях
• обжаловать в суде любые неправомерные действия или бездействие Оператора при обработке и защите его персональных данных
• на сохранение и защиту своей личной и семейной тайны, на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
11.2. В целях обеспечения достоверности персональных данных Субъект персональных данных обязан:
• передавать Оператору или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ, настоящим Положением и Правила внутреннего трудового распорядка, принятыми в Компании
• своевременно, в срок, не превышающий трех рабочих дней, сообщать Оператору об изменении своих персональных данных.
12. Порядок уничтожения или блокирования персональных данных
12.1. В соответствии с Федеральным законом «О персональных данных» в случае выявления неправомерной обработки персональных данных при обращении субъекта или его представителя либо по запросу субъекта или его представителя, либо уполномоченного органа по защите прав Субъектов персональных данных, Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту с момента такого обращения или получения указанного запроса.
12.2. В соответствии с Федеральным законом «О персональных данных» Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные (либо провести обезличивание) в случае:
• достижения цели обработки персональных данных
• утраты необходимости в достижении целей обработки персональных данных
• отзыва Субъектом согласия на обработку его персональных данных.
12.3. Об устранении допущенных нарушений или об уничтожении персональных данных Работодатель обязан уведомить Работника.
13. Ответственность за нарушение норм, регулирующих обработку персональных данных
13.1. Нарушение требований настоящего Положения может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.
14. Внесение изменений, актуализация и архивирование
14.1 Оригинал настоящего Положения после утраты силы действия хранится 3 года. Настоящее Положение актуализируется при возникновении необходимости, но не реже одного раза в пять лет.
14.2 Положение может изменяться и пересматриваться в случае изменения действующего законодательства.
Согласие на обработку персональных данных.