Клиент/покупатель дает ООО «ШАТЕ-М ПЛЮС» согласие на использование и обработку своих персональных данных (фамилия, имя, отчество, дата и место рождения, гражданство, паспортные данные, адреса регистрации и места жительства, контактные телефоны, адреса электронной почты, ИНН и иные данные, передаваемые в рамках заключения и/или исполнения договора поставки автомобильных запчастей, узлов, деталей и иных принадлежностей к транспортным средствам) в административно-правовых и коммерческих целях. Согласие предоставляется в отношении персональных данных на осуществление любых действий, допустимых согласно законодательству и которые необходимы или желаемы для достижения указанных выше целей, включая: сбор, систематизацию, хранение, уточнение (обновление, изменение), использование, передачу (предоставление, доступ), включая трансграничную передачу, обезличивание, блокирование, уничтожение; с использованием и без использования средств автоматизации как способов обработки персональных данных. Клиент согласен с тем, что ООО «ШАТЕ-М ПЛЮС» может проверить достоверность предоставленных персональных данных, в том числе с использованием услуг Операторов. При этом ООО «ШАТЕ-М ПЛЮС» вправе передавать персональные данные третьим лицам в целях выполнения требований законодательства, договорных обязательств, в необходимом объеме и с соблюдением требований законодательства.
Директор ООО «ШАТЕ-М ПЛЮС»
_______________ Ветров А.С.
«__»________________ г.
1. Общая часть
1.1 Настоящая Политика определяет порядок создания, обработки и защиты персональных данных клиентов и работников Общества.
1.2 Основанием для разработки данного локального нормативного акта являются:
- Конституция РФ от 12 декабря 1993 г. (ст. 2, 17-24, 41);
- глава 14 (ст. 85-90) Трудового кодекса РФ;
- часть 1 и 2, часть 4 Гражданского кодекса РФ;
- Закон РФ от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации»;
- Федеральный закон от 07 июля 2003 г. № 126-ФЗ «О связи»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Указ Президента РФ от 06 марта 1997 г. № 188 (ред. от 23 сентября 2005 г.) «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных:
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15 февраля 2008 г.);
1.3 Целью настоящей Политики является определение порядка обработки персональных данных клиентов Общества, а также лиц, работающих по трудовым договорам и гражданско-правовым договорам (далее - работников) Общества, в том числе: соискателей (физических лиц, готовящихся вступить в трудовые или иные гражданско-правовые отношения с Обществом-оператором), физических лиц, состоявших в трудовых и иных гражданско-правовых отношениях с Обществом-оператором – уволенные сотрудники, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности лиц, имеющих доступ к персональным данным клиентов и работников Общества, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
1.4 Персональные данные клиентов и работников относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере служебной, профессиональной тайны.
2. Основные понятия, используемые в настоящей Политике
Для целей настоящей Политики применяются следующие термины и определения:
Оператор - Общество, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Клиенты - (субъекты персональных данных) – физические лица, индивидуальные предприниматели и юридические лица, обращающиеся к Обществу-оператору с целью покупки и поставки автомобильных запчастей, узлов, деталей и принадлежностей к транспортным средствам и по другим вопросам в рамках уставной деятельности Общества.
Работники - (субъекты персональных данных) – физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Обществом-оператором, в том числе: соискатели (физические лица, готовящиеся вступить в трудовые или иные гражданско-правовые отношения с Обществом-оператором), физические лица, состоявшие в трудовых и иных гражданско-правовых отношениях с Обществом-оператором – уволенные сотрудники
Документы, содержащие персональные данные клиента - документы, необходимые для осуществления в установленном порядке покупки и поставки автомобильных запчастей, узлов, деталей и принадлежностей к транспортным средствам и по другим вопросам в рамках уставной деятельности Общества-оператора
Документы, содержащие персональные данные работника - документы, которые работник предоставляет Обществу-оператору (работодателю) в связи с трудовыми отношениями и гражданско-правовыми отношениями с Обществом-оператором, в том числе: соискатели (физические лица, готовящиеся вступить в трудовые или иные гражданско-правовые отношения с Обществом-оператором физические лица, состоявшие в трудовых и иных гражданско-правовых отношениях с Обществом-оператором – уволенные сотрудники и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Обработка персональных данных клиента или работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных гражданина или работника.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных - операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц, к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с законодательством не распространяется требование соблюдения конфиденциальности.
3. Общие принципы и условия обработки персональных данных клиентов и работников
3.1 Обработка персональных данных клиентов и работников осуществляется на основе принципов:
1) Обработка персональных данных должна осуществляться на законной и справедливой основе.
2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Управление должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
3.2 В целях обеспечения прав и свобод человека и гражданина, Общество и его представители при обработке персональных данных клиента или работника обязаны соблюдать следующие общие требования:
1) Обработка персональных данных клиента может осуществляться исключительно в целях осуществления в установленном порядке уставной деятельности Общества
2) Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов с учетом положений Федерального закона № 152-ФЗ «О персональных данных», оформления трудовых отношений, расторжения трудовых отношений, расчета и выдачи заработной платы или других доходов, налоговых и пенсионных отчислений, содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя и т.п.
3) При определении объема и содержания, обрабатываемых персональных данных клиента или работника, Общество должно руководствоваться Конституцией Российской Федерации, Трудовым кодексом, Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», законодательством РФ в сфере защиты персональных данных и обработки информации, Уставом Общества и иными Федеральными законами, и локальными нормативными актами в области защиты персональных данных.
5) Общество-оператор не имеет права получать и обрабатывать персональные данные клиента или работника, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
6) Работники или их представители должны быть ознакомлены под личную подпись с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.3 Общество-оператор вправе поручить обработку персональных данных другому лицу с согласия гражданина, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Общества должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
3.4 Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие гражданина на обработку его персональных данных.
3.5 В случае если Общество-оператор поручает обработку персональных данных другому лицу, ответственность перед клиентом и работником за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
4. Получение и обработка персональных данных работника и клиента
4.1 Получение персональных данных работника преимущественно осуществляется путем представления их самим работником, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
В случаях, предусмотренных законодательством РФ, обработка персональных данных осуществляется только с согласия работника в письменной форме. Равнозначным содержащему собственноручную подпись работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью. Согласие работника в письменной форме на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование и адрес Общества, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено законодательством РФ;
9) подпись субъекта персональных данных.
Для обработки персональных данных, содержащихся в согласии в письменной форме работника на обработку его персональных данных, дополнительное согласие не требуется.
4.2 В случае необходимости проверки персональных данных работника заблаговременно должно сообщить об этом работнику, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.3 Обработка персональных данных работника не требует получения соответствующего согласия в следующих случаях:
1) Если объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством.
2) В случаях, предусмотренных правилами внутреннего трудового распорядка, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.
3) Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.
4) Обработка персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат). В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных. 5) Обработка специальных категорий, персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.
6) При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
7) При передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 № 490, иными нормативными правовыми актами в сфере транспортной безопасности).
8) В случаях передачи работодателем персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы, в других случаях, предусмотренных действующим законодательством Российской Федерации.
9) При мотивированных запросах от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
10) Передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
- договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
- наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
- соответствующая форма и система оплаты труда прописана в Положении об оплате труда и премировании (ст. 41 Трудового кодекса РФ).
11) Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.
При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе получить согласие работников на передачу их персональных данных.
4.4 Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.
4.6 В соответствии с частью 1 статьи 11 ФЗ № 152«О персональных данных»:
1) Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2) Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Право доступа к персональным данным работника имеют:
- руководитель Общества;
- руководитель отдела кадров и управления персоналом;
- инспектор отдела кадров;
- специалист по охране труда, в пределах своей компетенции;
- руководители Обособленных подразделений Общества (только относительно работников своего подразделения);
- инспекторы отделов кадров обособленных подразделений Общества (только относительно работников своего подразделения);
- руководители отделов (только относительно работников своего отдела);
- сотрудники бухгалтерии, в пределах своей компетенции;
- сотрудники юридического отдела в пределах своей компетенции
- сам работник.
Состав персональных данных работника
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- размер заработной платы;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- номер мобильного телефона
- содержание трудового договора и дополнительных соглашений к нему;
- содержание договора о полной материальной ответственности;
- уведомления
- личные заявления
- табели учета рабочего времени
- графики работы работника
- расчетные листки
- записки-расчеты
- листки нетрудоспособности
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу, о предоставлении отпуска, о командировании;
Личные карточки Т-2 и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в государственные органы;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии и иные сведения, относящиеся к персональным данным работника;
- рекомендации, характеристики и т.п.
- сведения из иных документов Работника и/или о Работнике, предоставляемые Работником в связи с исполнением трудовых обязанностей
Состав персональных данных клиента
В состав персональных данных Клиентов, в том числе входят:
В Обществе могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:
4.7. Порядок получения (сбора) персональных данных клиента:
4.8. Порядок обработки персональных данных клиента
Субъект персональных данных предоставляет Обществу достоверные сведения о себе.
К обработке персональных данных Клиентов могут иметь доступ только сотрудники Общества, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.
Обработка персональных данных Клиента может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.
При определении объема и содержания, обрабатываемых персональных данных Общество должно руководствоваться Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.
5. Хранение и использование персональных данных работников и клиентов
5.1 Информация персонального характера работника хранится и обрабатывается с соблюдением требований действующего Российского законодательства о защите персональных данных.
5.2 Порядок хранения документов, содержащих персональные данные работников осуществляется в соответствии с:
- Правилами, устанавливающими порядок ведения и хранения трудовых книжек, а также порядок изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства РФ от 16 апреля 2003 г. № 225 «О трудовых книжках» (в ред. от 06 февраля 2004 г.);
- Унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными Постановлением Госкомстата России от 05 января 2004 г. № 1;
- Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
5.3 Обработка персональных данных клиентов и работников Общества осуществляется смешанным путем:
- неавтоматизированным способом обработки персональных данных;
- автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
5.4 Персональные данные клиентов и работников хранятся на бумажных носителях и в электронном виде.
5.5 Хранение текущей документации и оконченной производством документации, содержащей персональные данные клиентов и работников Общества, осуществляется во внутренних подразделениях Общества, а также в помещениях Общества, предназначенных для хранения отработанной документации.
Ответственные лица за хранение документов, содержащих персональные данных работников, назначены Приказом руководителя Общества.
5.6 Хранение персональных данных клиентов и работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные клиентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
5.7 Общество обеспечивает ограничение доступа к персональным данным клиентов и работников лицам, не уполномоченным законодательством РФ, либо Обществом для получения соответствующих сведений.
5.8 Доступ к персональным данным клиентов и работников без специального разрешения имеют только должностные лица Общества, допущенные к работе с персональными данными клиентов и работников Приказом руководителя. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных.
6. Защита персональных данных работников и клиентов
6.1 Общество при обработке персональных данных работников обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2 Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
6.3 Обеспечение безопасности персональных данных работников достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) учетом машинных носителей персональных данных;
5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
6.4 Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
6.5 Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
6.6 Для обеспечения безопасности персональных данных работников при неавтоматизированной обработке предпринимаются следующие меры:
6.6.1 Определяются места хранения персональных данных, которые оснащаются средствами защиты:
- В кабинетах, где осуществляется хранение документов, содержащих персональные данные работников, имеются сейфы, шкафы, стеллажи, тумбы.
- Дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками и системами охраны тревожной сигнализации, обслуживаемыми ЧОП и системами пожарной сигнализации.
6.6.2 Все действия по неавтоматизированной обработке персональных данных работников осуществляются только должностными лицами, согласно Списку должностей, утвержденному Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
6.6.3 При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
Персональные данные клиентов и работников, содержащиеся на материальных носителях уничтожаются по Акту об уничтожении персональных данных.
Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
6.6.4 Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6.7 Для обеспечения безопасности персональных данных клиентов и работника при автоматизированной обработке предпринимаются следующие меры:
6.7.1 Персональные компьютеры, имеющие доступ к базам хранения персональных данных клиентов и работников, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных клиентов и работников на данном ПК.
6.7.3 Иные меры, предусмотренные законодательством РФ.
6.8 Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, в соответствии с приказами по архивному делу, или продлевается на основании заключения комиссии Общества, если иное не определено законодательством РФ.
6. Защита персональных данных клиента:
Под защитой персональных данных Клиента понимается комплекс мер (организационно-распорядительных, технических, правовых), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
Защита персональных данных Клиента осуществляется за счёт Общества в порядке, установленном федеральным законодательством.
Общество при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, правовые и технические меры, в том числе:
Антивирусная защита.
Анализ защищённости.
Обнаружение и предотвращение вторжений.
Управления доступом.
Регистрация и учет.
Обеспечение целостности.
Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.
Доступ к персональным данным Клиента имеют сотрудники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов.
Процедура оформления доступа к персональным данным Клиента включает в себя:
Защита персональных данных Клиентов, хранящихся в электронных базах данных Обществом, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.
7. Передача персональных данных работников третьим лицам
7.1. При передаче персональных данных работника третьим лицам работодатель должен соблюдать следующие требования:
7.1.1 Не сообщать персональные данные работника третьему лицу без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, прямо предусмотренных законодательством РФ.
7.1.2 Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
7.1.3 Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
7.1.4 Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
7.1.5 Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и только в том объеме, который необходим для выполнения указанными представителями их функций.
7.2. Передача персональных данных работника третьим лицам осуществляется на основании письменного заявления/запроса третьего лица с разрешающей визой руководителя и только с согласия работника, в отношении которого поступил такой запрос, за исключением случаев, прямо предусмотренных п. 7.1.1 настоящей Политики.
7.3. В целях соблюдения законодательства РФ и иных нормативных правовых актов Российской Федерации и обеспечения положений трудового договора возможна передача:
- документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о пенсионных накоплениях физических лиц в соответствии с законодательством Российской Федерации - в федеральные органы исполнительной власти;
- персональных данных, для осуществления выдачи заработной платы или других доходов работника - в уполномоченные банковские организации;
- персональных данных, для содействия работникам в трудоустройстве, обучении, повышения их квалификации, переподготовке, проведения аттестации на квалификационную категорию, получении грамот, наград и иных форм поощрений - в представительные органы власти, уполномоченные региональные и федеральные органы исполнительной власти.
Передача указанных сведений и документов осуществляется с согласия работника. Согласие работника оформляется письменно в виде отдельного документа. После получения согласия работника дальнейшая передача указанных сведений и документов, дополнительного письменного согласия не требует.
В случае если лицо, обратившееся с запросом, не уполномочено федеральным законодательством на получение персональных данных работника, либо отсутствует письменное согласие работника на передачу его персональных данных, Общество обязано отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится у Общества.
Передача персональных данных клиента
Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.
При передаче персональных данных работники Общества должны соблюдать следующие требования:
Хранение и использование персональных данных клиента
Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.
Персональные данные Клиентов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Обществе. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Обществе, в электронных папках и файлах работников, допущенных к обработке персональных данных Клиентов.
Хранение персональных данных Клиента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено законодательством РФ.
Сроки хранения персональных данных клиента:
Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов - 5 лет с момента окончания действия договоров.
В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке установленном в Положении и действующем законодательстве РФ.
8. Общедоступные источники персональных данных работников
8.1 Включение персональных данных работника в общедоступные источники персональных данных возможно только при наличии его письменного согласия.
8.2 В целях информационного обеспечения работодателем могут создаваться общедоступные источники персональных данных работников (в том числе справочники, адресные книги, информационные стенды для потребителей услуг, оказываемых работодателем). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год и место рождения, адрес, иные персональные данные, личный № мобильного телефона, предоставленные работником.
8.3 При обезличивании персональных данных согласие гражданина или работника на включение персональных данных в общедоступные источники персональных данных не требуется.
8.4 Сведения о гражданинах или работников могут быть исключены из общедоступных источников персональных данных по требованию самого работника, либо по решению суда или иных уполномоченных государственных органов.
9. Права и обязанности работника и клиента в области защиты их персональных данных
9.1 Работник обязан:
9.1.1 При приеме на работу предоставить работодателю свои достоверные персональные данные.
9.1.2 Для своевременной и полной реализации своих трудовых, пенсионных и иных прав работник обязуется поставить в известность работодателя об изменении персональных данных, обрабатываемых работодателем в связи с трудовыми отношениями, в том числе изменении фамилии, имени, отчества, паспортных данных, о получении образования, квалификации, получении инвалидности и иных медицинских заключений, препятствующих выполнению своих должностных обязанностей, и прочих данных c предоставлением подтверждающих документов.
9.2. В целях обеспечения защиты персональных данных работник имеет право на:
9.2.1 Полную информацию о хранящихся у работодателя его персональных данных.
9.2.2 Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством РФ.
Выдача документов, содержащих персональные данные работников, осуществляется в соответствии со ст. 62 Трудового кодекса Российской Федерации, гл. 3 ст. 14 Федерального закона № 152-ФЗ с соблюдением следующей процедуры:
- заявление работника о выдаче того или иного документа на имя руководителя Общества (работодателя);
- выдача заверенной копии (в количестве экземпляров, необходимом работнику) заявленного документа либо справки о заявленном документе или сведениях, содержащихся в нем;
9.2.3 Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
9.2.4 Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
9.2.5 Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
9.2.6 Иные права, предусмотренные действующим законодательством.
9.3 Работодатель обязан:
9.3.1 Предоставить работнику, по его просьбе информацию о наличии у него персональных данных владельца, цели их обработки, способ обработки, разъяснить юридические последствия отказа работника от их предоставления в случае, если такая обязанность предусмотрена федеральным законодательством.
9.3.2 По письменному заявлению работника не позднее 3-х рабочих дней со дня его подачи бесплатно выдавать работнику копии документов, связанных с работой.
9.3.3 Устранять выявленные недостоверные персональные данные в случаях и порядке, предусмотренном федеральным законодательством.
9.3.4 Принимать возможные меры по обеспечению безопасности персональных данных работников при их обработке.
9.4 Работодатель и Общество имеют право:
9.4.1. Требовать от работника предоставления персональных данных и документов, их подтверждающих, в случаях, предусмотренных федеральным законодательством.
9.4.2. Предоставлять персональные данные Клиентов третьим лицам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.).
9.4.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ.
9.4.4. Использовать персональные данные Клиента без его согласия, в случаях предусмотренных законодательством РФ.
9.4.5. Иные права, предусмотренные действующим законодательством.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников и клиентов
10.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника и клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.
10.2 Работники Общества, допущенные к обработке персональных данных работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
11. Заключительные положения
11.1 Настоящая Политика вступает в силу с даты её утверждения.
11.2 При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа руководителя.
11.3 Настоящая Политика распространяется на всех клиентов и работников, а также работников Общества, имеющих доступ и осуществляющих перечень действий с персональными данными клиентов и работников.
Клиенты Общества, а также их законные представители имеют право ознакомиться с настоящей Политикой.
Работники Общества подлежат ознакомлению с данным документом под личную подпись.
11.4. В обязанности работодателя входит ознакомление всех работников с настоящей Политикой и лиц, принимаемых на работу до подписания трудового договора, под личную подпись.
11.5 Настоящая политика размещается на официальном сайте Общества