ПОЛИТИКА ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Политика обработки персональных данных
ПОЛОЖЕНИЕ
об обработке и защите персональных данных субъектов персональных данных ООО «ЛЕДИСИН»
Настоящее положение разработано с целью защиты информации, относящейся к персональным данным работников ООО «ЛЕДИСИН» (далее — Предприятие) и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора, в соответствии с принципами, установленными ст. 24 Конституции РФ, на основе положений гл. 14 Трудового кодекса РФ (далее — ТК РФ), Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 N 152- ФЗ «О персональных данных», Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г. No 188, Постановлением Правительства Российской Федерации от 21 марта 2012 г. No211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Основные понятия и состав персональных данных.
-
1.1. Субъект персональных данных — физическое лицо, в том числе работник (сотрудник) Предприятия, которому принадлежат те или иные персональные данные.
-
1.2. Работник (сотрудник) Предприятия — физическое лицо, состоящее в трудовых отношениях или иных договорных отношениях с Предприятием и являющееся субъектом персональных данных.
-
1.3. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
-
1.4. Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
-
1.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
-
1.6. К персональным данным работников, получаемым Предприятием и подлежащим хранению в порядке, предусмотренном законодательством РФ и положением Предприятия, в частности, относятся личные дела работников, содержащие:
-
— данные паспорта работника (указанные в анкете, заполненные работником при поступлении на работу или в процессе работы);
-
-данные свидетельства обязательного пенсионного страхования (указанные в анкете, заполненные работником при поступлении на работу или в процессе работы);
-
— данные свидетельства о присвоении идентификационного номера налогоплательщика (далее — ИНН) (указанные в анкете, заполненные работником при поступлении на работу или в процессе работы);
-
— данные военного билета (для военнообязанных) (указанные в анкете, заполненные работником при поступлении на работу или в процессе работы);
-
— данные документа об образовании, повышении квалификации, переквалификации и т.п. (указанные в анкете, заполненные работником при поступлении на работу или в процессе работы);
-
— данные наградных листов, выписки из документов о присвоении почетных званий и т.п. (указанные в анкете, заполненные работником при поступлении на работу или в процессе работы);
-
— анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе — автобиография);
-
— данные о семейном положении работника, перемене им фамилии, наличии детей, иждивенцев (копии свидетельства о браке, о рождении и т.п.)
-
— медицинские заключения, предъявляемые работником по прохождению обязательных предварительных и периодических медицинских осмотров;
-
— характеристики и рекомендации с предыдущих мест работы. Также в личном деле работников подлежат хранению документы (копии документов), образовавшиеся в процессе документального оформления трудовых отношений с работниками:
-
— трудовой договор;
-
— копии приказов о приеме, переводах, увольнении, изменении заработной платы, премировании, поощрениях и взысканиях;
-
— личная карточка, составленная по форме, утвержденной на Предприятии;
-
— заявления работника, связанные с его работой на Предприятии, объяснительные;
-
— документы о прохождении работником аттестации;
-
— иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для корректного оформления трудовых правоотношений.
-
-
1.7. К персональным данным иных субъектов, персональные данные которых подлежат обработке, на основании полномочий оператора относятся: — фамилия, имя, отчество;
-
— число, месяц, год рождения;
-
— паспортные данные;
-
— адрес места регистрации;
-
— адрес места проживания:
-
— контактные номера телефонов (домашний, мобильный)- адреса электронной почты;
-
— иные данные, необходимые для достижения конкретных, заранее определенных и законных целей.
-
Хранение и использование персональных данных субъектов персональных данных.
-
3.1. Порядок хранения и использования персональных данных субъектов персональных данных устанавливается настоящим положением и разработан с соблюдением требований законодательства РФ.
-
3.2. Сведения о субъектах персональных данных хранятся на бумажных и электронных носителях, в помещении Предприятия. Предприятие как оператор по обработке персональных данных и все работники, имеющие доступ к персональным данным субъектов персональных данных, обязаны соблюдать правила обработки персональных данных и обеспечивать ограничение доступа к персональным данным лицам, не уполномоченным законом либо Предприятием для получения соответствующих сведений.
-
3.2. Сведения о субъектах персональных данных хранятся на бумажных и электронных носителях, в помещении Предприятия. Предприятие как оператор по обработке персональных данных и все работники, имеющие доступ к персональным данным субъектов персональных данных, обязаны соблюдать правила обработки персональных данных и обеспечивать ограничение доступа к персональным данным лицам, не уполномоченным законом либо Предприятием для получения соответствующих сведений.
-
3.3. Доступ к персональным данным без получения специального разрешения имеют работники, занимающие следующие должности на Предприятии:
-
— директор;
-
— главный бухгалтер и/или работники бухгалтерии Предприятия или иных привлеченных для ведения бухгалтерской работы организаций;
-
При получении сведений, составляющих персональные данные субъекта, указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
-
При приеме на работу такие работники дают обязательство не разглашать персональные данные работников Предприятия и иных субъектов персональных данных, которые стали известны таким работникам в связи с исполнением ими трудовых обязанностей.
-
При заключении договоров с аудиторскими, бухгалтерскими и иными организациями, сотрудники которых получают доступ к персональным данным субъектов, в договор вносится условие о неразглашении представителями указанных организаций персональных данных, к которым им был предоставлен доступ.
-
-
3.4. При хранении персональных данных Предприятие исходит из того, что оно должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
-
3.5. При обработке персональных данных в информационных системах Предприятие руководствуется Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 No 1119. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены Приказом ФСТЭК России от 18.02.2013 No 21.
Передача персональных данных субъекта.
-
4.1. При передаче персональных данных субъекта Предприятием должны соблюдаться следующие требования:
-
— Запрещается сообщать персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;
-
— запрещается сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
-
— работник, передающий персональные данные, обязан предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения соблюдения этого правила. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
-
— запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
-
— работник, передающий персональные данные субъекта, имеет право передавать персональные данные представителям субъекта в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
-
Права субъектов в целях обеспечения защиты персональных данных, хранящихся у Предприятия.
-
5.1. В целях обеспечения защиты персональных данных, хранящихся у Предприятия, субъекты персональных данных имеют право:
-
— на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта. За исключением случаев, предусмотренных законодательством РФ, получение указанной информации субъектами в отношении своих персональных данных возможно при личном обращении субъекта к руководителю Предприятия. Выписки из личного дела работника, приказов и иных документов, связанных с работой, выдаются работнику на основании его письменного заявления в течение трех дней с момента подачи заявления;
-
— на определение своих представителей для защиты своих персональных данных. Представителем работников может быть назначен директор Предприятия.
-
— на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства РФ. При обнаружении неверных, неполных, а равно полученных с нарушением законодательства РФ персональных данных, субъект персональных данных должен обратиться с соответствующим заявлением на имя директора Предприятия об исправлении (исключении) подобных сведений. При отказе Предприятия исключить или исправить персональные данные субъекта он имеет право в письменной форме заявить Предприятию о своем несогласии с предоставленным ему обоснованием такого несогласия. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
-
— на требование об извещении Предприятием всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
-
— на обжалование в суд любых неправомерных действий или бездействия Предприятия при обработке и защите их персональных данных.
-
Обязанности субъекта в целях обеспечения достоверности его персональных данных.
-
6.1. В целях обеспечения достоверности персональных данных субъекты обязаны:
-
— При приеме на работу предоставлять работникам отдела кадров
-
Предприятия достоверные сведения о себе в порядке и объеме, предусмотренном законодательством РФ.
-
— В случае изменения сведений, составляющих персональные данные субъекта (фамилии, имени, отчества, адреса, паспортных данных, сведений об образовании, состоянии здоровья (при выявлении в соответствии с медицинским заключением противопоказаний для выполнения работником работы, обусловленной трудовым договором) и т.п.), сообщать об этом Предприятию в течение пяти рабочих дней с даты таких изменений. В этом случае субъект обязан предъявить подлинный экземпляр документа с измененными сведениями, с которого будет снята копия, хранение которой будет осуществляться в соответствии с настоящим положением.
-
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
-
7.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных субъектов, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско- правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
Заключительные положения.
-
8.1. Настоящее положение вступает в силу с даты его утверждения директором Предприятия.
-
8.2. Изменения и дополнения в настоящее положение могут быть внесены на основании приказа директора Предприятия.
-
8.3. Настоящее положение разработано в соответствии с законодательством РФ. В случае изменения норм законодательства РФ об охране персональных данных настоящее положение должно быть приведено в соответствие с действующим законодательством в течение недели с даты вступления в силу таких изменений.