Юридические услуги с гарантией результата Работаем с 2009 года
Режим работы:
понедельник-пятница,
с 9:00 до 18:00
8 800 700-96-62






Положение о персональных данных

Утверждено

Приказом Директора

№ __ от 28.06.2017 года 

Директор ООО «ПЦ Дивиус»

Гусев И.М. 

/____________________/

 

 

 

ПОЛОЖЕНИЕ

О ПЕРСОНАЛЬНЫХ ДАННЫХ

 

 


г. Воронеж, 2017 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Настоящим Положением «О персональных данных» (Далее, - «Положение») определяется порядок обработки и защиты персональных данных работников Общества с ограниченной ответственностью «Правовой центр Дивиус» (Далее, - «Общество»), а также права и обязанности Общества и его работников в области персональных данных. Любая передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.

 

1.2. Целью настоящего Положения является обеспечение защиты прав, свобод и законных интересов работников Общества при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.   

 

1.3. В процессе обработки и защиты персональных данных работников Общество руководствуется положениями Конституции РФ, Гражданского кодекса РФ, Трудового кодекса РФ, Федерального закона «О защите персональных данных» от 27.07.2006 г. № 152-ФЗ, Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства РФ от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Приказа Министерства культуры РФ от 25.08.2010 г. № 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», других нормативных актов РФ, а также настоящим Положением.

 

1.4. Сведения о персональных данных работников относятся к числу конфиденциальных и составляют охраняемую законом тайну Общества. Режим конфиденциальности, применяемый в отношении персональных данных, может быть снят только в случаях, предусмотренных действующим законодательством.

 

2. ОСНОВНЫЕ ПОНЯТИЯ

 

2.1. Для целей настоящего Положения используются следующие основные понятия:

 

·   персональные данные работника - любая информация, относящаяся прямо или косвенно к конкретному работнику Общества и необходимая Обществу в связи с трудовыми отношениями, существующими между Обществом и работником;

·   обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

·   распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

·   предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

·   блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

·   уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

·   обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику;

·   информационные системы персональных данных - совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

 

2.2. Иные понятия, употребляемые в настоящем Положении, будут иметь значение, придаваемое им действующим законодательством РФ.

 

3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Общество вправе требовать и получать от работника только те персональные данные, которые касаются трудовых отношений и характеризуют работника именно как сторону трудового договора. Общество не вправе требовать от работника предоставления персональных данных, которые не связанны с осуществлением его трудовой деятельности, за исключением случаев, прямо предусмотренных действующим законодательством РФ.  

 

3.2. В процессе трудовых взаимоотношений Общество может использовать следующий примерный перечень документов, содержащих персональные данные работников:  

 

- материалы по анкетированию, тестированию, проведению собеседований с работником, автобиография, характеристика работника;

- паспорт или иной документ, удостоверяющий личность работника;

- личная карточка работника по форме Т-2, приказы по личному составу Общества, а также иные документы по учету труда и его оплаты;

- трудовая книжка работника;

- свидетельство о заключении брака, рождении детей, а также иные документы, которые могут понадобиться Обществу для предоставления работнику определенных льгот, предусмотренных законодательством;

- документы воинского учета;

- справка о доходах с предыдущего места работы;

-  документы об образовании, материалы по аттестации работника, а также другие документы, подтверждающие квалификацию работника, профессиональные навыки или обосновывающие занятие определенной должности;

- документы обязательного пенсионного страхования;

- свидетельство о постановке на учет физического лица в налоговом органе;

- трудовой договор;

- документы, необходимые для начисления работнику заработной платы;

- медицинское заключение – в случае приема на работу лица, не достигшего восемнадцатилетнего возраста, а также иных лиц, которые в соответствии с законодательством обязаны проходить предварительный медицинский осмотр (обследование) при заключении трудового договора; 

- документы планирования, учета, анализа и отчетности по вопросам кадровой работы;

- отчетные документы, направляемые уполномоченным государственным органам и органам местного самоуправления;

- иные документы, имеющие отношение к трудовой деятельности работника.

 

 

 

3.3. Общество не вправе требовать предоставления, а также осуществлять обработку персональных данных, которые не являются необходимыми Обществу в связи с трудовыми отношениями. Необходимость получения и обработки тех или иных персональных данных работников, а также взаимосвязь таких данных с трудовой деятельностью работника определяется лицами, осуществляющими обработку персональных данных, в каждом случае отдельно с учетом всех обстоятельств, подлежащих оценке.

 

3.4. Должностным лицам Общества следует учитывать, что информация, собираемая Обществом в отношении соискателей на вакантные должности, также относится к персональным данным вне зависимости от того, принят ли соискатель на вакантную должность или нет. В случае если с соискателем не были установлены трудовые отношения, в отношении него не применяются нормы о защите персональных данных, установленные Трудовым кодексом РФ. В то же время в отношении собранных персональные данных соискателя в полной мере применяются требования о сборе, обработке, хранении, защите персональных данных, установленные Федеральным законом «О защите персональных данных».

 

3.5. При заключении трудового договора от соискателя могут быть затребованы только те документы, которые определены в ст. 65 Трудового кодекса РФ.

 

В некоторых случаях действующее законодательство с учетом специфики трудовой деятельности и категории лиц, принимаемых на работу, может устанавливать дополнительный перечень документов, которые должны предоставляться данными лицами при приеме на работу или в процессе осуществления трудовой деятельности. Так, например, при приеме на работу иностранного гражданина Общество вправе требовать предоставления лицом разрешения на работу (п. 4 ст. 13 Федерального закона «О правовом положении иностранных граждан в Российской Федерации» № 115-ФЗ от 25.07.2002 г.). Сведения, содержащиеся в этих документах, также будут относиться к персональным данным.          

 

Требовать от лица, поступающего на работу, предоставления других документов, не предусмотренных действующим законодательством, запрещается.

 

3.6. При использовании фотографий работников следует учитывать следующие особенности:  изображение любого лица (соответственно и работника в том числе) охраняется положениями ст. 152.1 Гражданского кодекса РФ, которые предусматривают, что обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. Таким образом, при использовании изображения работника следует предварительно заручиться его согласием. Это согласие может быть выражено работником и в устной форме, так как закон не требует обязательного облечения данного согласия в письменную форму.

    

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Должностные лица Общества, осуществляющие обработку персональных данных работников, должны учитывать следующие базовые принципы, установленные действующим законодательством (ст. 5 Федерального закона «О персональных данных») в отношении процесса обработки персональных данных:

·   обработка должна осуществляться на законной и справедливой основе;

·   обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

·   не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

·   обработке подлежат только те персональные данные, которые отвечают целям обработки;

·    содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;

·   при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Общество должно принимать необходимые меры по удалению или уточнению неполных или неточных данных;

·   форма хранения персональных данных должна позволять определять субъекта этих данных (т.е. конкретного работника);

·   хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является работник. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

4.2. Общество может осуществлять обработку персональных данных работников исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

 

4.3. Согласие работника на обработку персональных данных.

 

4.3.1. По общему правилу, установленному ст. 6 Федерального закона «О персональных данных», обработка персональных данных осуществляется только с согласия субъекта персональных данных. Вместе с тем, в качестве исключения, ст. 6 вышеназванного закона допускает обработку персональных данных без согласия субъекта персональных данных в случае, когда это необходимо для исполнения договора, одной из сторон которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных. Кроме того, закон допускает обработку персональных данных без согласия лица, когда такая обработка необходима для осуществления и выполнения возложенных законодательством Российской Федерации на лицо, осуществляющего такую обработку, функций, полномочий и обязанностей.

 

Поскольку работник является стороной трудового договора, а обработка его персональных данных производится Обществом для осуществления и выполнения возложенных законом на Общество полномочий и обязанностей, то согласие на обработку персональных данных от работника получать не нужно, за исключением случаев, когда обработка этих данных выходит за рамки трудовых отношений, либо когда действующее законодательство прямо предусматривает необходимость получения такого согласия. При этом в некоторых случаях законодательство может устанавливать необходимость получения письменного согласия работника на обработку персональных данных.

 

4.3.2. Согласие работника на обработку персональных данных должно быть свободным, конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано самим работником или его представителем. В случае получения согласия на обработку персональных данных от представителя работника, полномочия данного представителя на дачу такого согласия от имени работника проверяются должностными лицами Общества, осуществляющими обработку персональных данных.

 

4.3.3. Письменное согласие работника на обработку его персональных данных должно содержать следующие сведения:

·   фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе. Если письменное согласие вместо работника дает его представитель согласие должно содержать: фамилию, имя, отчество, адрес представителя работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

·   наименование Общества или иного лица, получающего согласие работника. Если обработка данных будет поручена Обществом другому лицу: наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку по поручению Общества;

·   цель обработки;

·   перечень данных, на обработку которых дается согласие субъекта персональных данных;

·   перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки;

·   срок, в течение которого действует согласие, а также способ его отзыва;

·   подпись субъекта персональных данных.

 

4.3.4. Согласие на обработку персональных данных может быть отозвано работником в любое время. В случае отзыва работником согласия на обработку его персональных данных Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва (данный срок не применяется к персональным данным, содержащимся в документах, срок хранения которых определен законодательством).

 

В случае отзыва работником согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия работника только при наличии оснований, предусмотренных в законе (п. 2 ст. 9 ФЗ «О персональных данных»).

 

4.4. Персональные данные работника могут быть сообщены третьим лицам только с предварительного письменного согласия работника. Общество вправе сообщать третьим лицам персональные данные работника без его согласия только в случаях прямо предусмотренных действующим законодательством.

 

4.5. Письменное согласие работника на передачу персональных данных третьему лицу оформляется таким образом, чтобы из его содержания было понятно, кому будут передаваться персональные данные и с какой целью.

 

4.6. При передаче персональных данных работников Общество обязано предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

   

Должностные лица Общества, осуществляющие обработку персональных данных, отказывают в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации или же отсутствует письменное согласие работника на предоставление сведений о нем лицу, обратившемуся с запросом. В таком случае обратившемуся лицу выдается письменное уведомление об отказе в предоставлении персональных данных.

 

4.7. Общество не имеет права получать и обрабатывать персональные данные работника о его частной жизни. Вместе с тем в случаях, непосредственно связанных с вопросами трудовых отношений, Общество вправе получать и обрабатывать данные о частной жизни работника при условии наличия его письменного согласия.

 

4.8. Общество не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

 

4.9. Все персональные данные Общество вправе получать только от самого работника. Если персональные данные возможно получить только от третьего лица, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. При уведомлении работника о намерении Общества получить информацию от третьего лица Общество должно сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.

 

Если работник отказывается предоставить Обществу свои персональные данные, предоставление которых является обязательным в соответствии с федеральным законом, должностные лица Общества, осуществляющие обработку персональных данных, разъясняют работнику последствия такого отказа. 

 

4.10. Общество вправе поручить обработку персональных данных другому юридическому или физическому лицу, не находящемуся с Обществом в трудовых отношениях, на основании заключаемого с этим лицом договора. В этом случае обработка таких данных третьим лицом возможна только с согласия работника. При этом ответственность перед работником за действия указанного лица несет Общество.

 

Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством. В поручении Общества, данному такому лицу, должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с требованиями законодательства.

 

4.12. Обработка персональных данных работников в статистических целях может осуществляться без согласия работников только при условии обезличивания персональных данных (если иное прямо не предусмотрено законодательством).

 

4.13. Обработка персональных данных работников может осуществляться как с использованием средств автоматизации, так и без их использования. Обработкой персональных данных без применения средств автоматизации (неавтоматизированной обработкой) считаются использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из работников, которые осуществляются при непосредственном участии человека. Данное правило распространяется также на те случаи, когда персональные данные содержаться в информационной системе или извлечены из такой системы. 

 

При обработке персональных данных без использования средств автоматизации следует учитывать требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 г. № 687.

 

4.14. При принятии решений, затрагивающих интересы работника, Общество не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

 

4.15. Изменение и дополнение персональных данных.

 

4.15.1. Общество обеспечивает своевременное изменение или дополнение неточных, неполных или неактуальных персональных данных работника по своей инициативе или на основании обращения работника.

 

4.15.2. В случае выявления неточных персональных данных при обращении работника Общество обязано осуществить блокирование персональных данных работника с момента такого обращения на весь период проверки. В случае подтверждения факта неточности или неполноты персональных данных Общество вносит необходимые изменения и дополнения не позднее семи рабочих дней с момента предоставления работником данных, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, после чего снимает  блокирование персональных данных. 

 

Общество уведомляет работника или его представителя о внесенных изменениях и дополнениях и принимает разумные меры для уведомления третьих лиц, которым персональные данные работника были переданы.

 

4.15.3. Работники обязаны как можно в более короткий срок уведомить должностных лиц Общества, осуществляющих обработку персональных данных, об изменении своих персональных данных. На работника возлагаются все неблагоприятные последствия, вызванные несвоевременным уведомлением Общества об изменении персональных данных.

 

4.15.4. Должностные лица Общества, осуществляющие обработку персональных данных, незамедлительно после получения соответствующего уведомления от работника совершают следующие действия:

- вносят соответствующие изменения в документы, содержащие изменившиеся персональные данные (личная карточка, трудовая книжка, книга учета движения трудовых книжек и т.д.). Изменения вносятся на основании приказа Директора Общества, который издается в свободной форме;

- уведомляют третьих лиц (территориальный орган ПФР, коммерческие банки и т.д.) об имевших место изменениях;

- осуществляют иные формальности, связанные с изменением персональных данных работника.

 

4.16. Выявление неправомерной обработки персональных данных. Уничтожение персональных данных.

 

4.16.1. Общество по своей инициативе или по требованию работника осуществляет выявление неправомерной обработки персональных данных и своевременное устранение выявленных нарушений. Под неправомерной обработкой персональных данных понимается обработка незаконно полученных персональных данных, а также обработка персональных данных, не являющихся необходимыми с учетом цели обработки.

 

4.16.2. В случае выявления неправомерной обработки персональных данных при обращении работника Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных с момента такого обращения на весь период проверки.

 

4.16.3. В случае выявления неправомерной обработки персональных данных Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить работника.

 

4.16.4. Персональные данные работников (соискателей на вакантные должности) подлежат незамедлительному уничтожению после достижения целей их обработки (утраты необходимости в достижении таких целей), а также отзыва работником своего согласия на их обработку (когда такое согласие является необходимым), за исключением случаев, когда действующим законодательством предусмотрены сроки хранения персональных данных. В последнем случае персональные данные (материальные носители, на которых они содержаться) подлежат уничтожению поле истечения сроков хранения. Общество обязано обеспечить уничтожение персональных данных в течение тридцати дней с момента наступления оснований для их уничтожения, предусмотренных в настоящем пункте. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Общество осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 

5. ОРГАНИЗАЦИЯ УЧЕТА И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. В целях учета обработки персональных данных Общество вправе вести журналы учета доступа к персональным данным, их выдачи и передачи другим лицам.

 

5.2. Лицо, которое получает личное дело другого работника, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

 

5.3. В целях проведения контроля учета и обработки персональных данных работников Директор Общества вправе издавать приказы о проведении проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдения норм действующего законодательства при их обработке. 

 

5.4. Все персональные данные работников Общества на бумажных носителях должны хранятся в запирающихся шкафах.

 

5.5. Срок хранения персональных данных определяется в зависимости от срока хранения документации, в которой они содержатся. При определении сроков хранения следует руководствоваться Приказом Министерства культуры РФ от 25.08.2010 г. № 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

 

6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

 

6.1. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением. 

 

6.2. Доступ к персональным данным работников имеют только специально уполномоченные сотрудники Общества, которые определяются на основании приказа Директора Общества. Данные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения ими конкретных функций, возложенных на этих лиц в соответствии с трудовым договором, должностными инструкциями, внутренними документами Общества.

 

6.3. Лица, имеющие доступ к персональным данным работников Общества, обязаны обеспечить конфиденциальность этих сведений и принять на себя обязательства по их неразглашению. В этих целях Общество оформляет с лицами, которые в силу своих должностных обязанностей получили доступ к персональным данным работников Общества, обязательство о неразглашении персональных данных.

 

6.4. Лицо, ответственное за организацию обработки персональных данных.  

 

6.6.1. Директор Общества на основании приказа назначает лицо, ответственное за организацию обработки персональных данных. Эти лицом может быть работник, в обязанности которого входит ведение кадрового делопроизводства, либо иное лицо. 

 

7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

 

7.1. Целью защиты персональных данных является исключение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 

7.2. Общество обязано обеспечить защиту персональных данных работников от неправомерного их использования или утраты за счет своих средств.

 

7.3. Общество не вправе требовать, а работники не вправе отказываться от своих прав на сохранение и защиту тайны персональных данных. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны персональных данных недействителен.

 

7.4. В целях защиты персональных данных Общество применяет следующие меры:

·   устанавливает особый ограниченный режим доступа к персональным данным работника, в том числе путем установления перечня лиц, которым предоставляется доступ к персональным данным работников в силу их функциональных обязанностей;

·    определяет состав лиц, имеющих право доступа к местам хранения персональных данных в документированной форме;

·   использует программно-технический комплекс защиты информации на электронных носителях;

·   регулярно проверяет знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;

·   проводит профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений;

·   определяет требования, предъявляемые к помещениям и к местам, в которых хранятся персональные данные работников;

·   осуществляет внутренний контроль соблюдения законодательства в области персональных данных, а также принимает иные меры к своевременному выявлению и устранению нарушений установленных требований по защите персональных данных работников;

·   создает необходимые условия, в том числе обеспечивает рациональное размещение рабочих мест, исключающие случайное попадание к третьим лицам документов, содержащих персональные данные работников;

·   обеспечивает восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.   

 

 

7.5. При обработке персональных данных с использованием информационных систем Общество должно руководствоваться Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановления Правительства РФ от 17.11.2007 г. № 781.

7.6. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего ФЗ «О персональных данных».

Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 ст. 18 ФЗ «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных                данных;

5) источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 ФЗ «О персональных данных».

7.7. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ «О прсональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ «О персональных данных» или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 ФЗ «О персональных данных»;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

7.8. Оператор опубликовывает или иным образом обеспечивает неограниченный доступ к настоящему документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

7.9. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

7.10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

7.11. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

 

 

8. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ

 

8.1. В целях защиты своих персональных данных, хранящихся в Обществе, работникам предоставляется право на:   

8.1.1. полную информацию об их персональных данных и обработке этих данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Обществом;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Обществом способы обработки персональных данных;

- сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему работнику, источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления работником прав, предусмотренных законодательством о персональных данных;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные федеральными законами.

8.1.2. свободный бесплатный доступ к своим персональным данным, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника, за исключением случаев, когда такие права ограничены федеральными законами. По письменному заявлению работника Общество обязано не позднее трех рабочих дней со дня получения заявления выдать работнику заверенные в установленном порядке копии документов, содержащих персональные данные (ст. 62 Трудового кодекса РФ);

8.1.3. определение своих представителей для защиты своих персональных данных;

8.1.4. доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

8.1.5. требование об исключении, исправлении (уточнении) или блокировании неверных, неполных или устаревших персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе Общества исключить или исправить персональные данные работника он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия;

8.1.6. дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;

8.1.7. требование об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

8.1.8. обжалование в уполномоченный орган по защите прав субъектов персональных данных или в суд любых неправомерных действий или бездействия Общества (его должностных лиц) при обработке и защите его персональных данных;

8.1.9. защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

8.2. На работников возлагаются следующие обязанности:

8.2.1. предоставлять Обществу достоверные сведения о себе;

8.2.2. уведомлять как можно в более короткий срок должностных лиц Общества, осуществляющих обработку персональных данных, об изменении своих персональных данных;

8.2.3. сохранять конфиденциальность персональных данных других работников, ставшие им известными в связи с осуществлением трудовых обязанностей.   

 

9. ОТВЕТСТВЕННОСТЬ ЗА НЕСОБЛЮДЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

 

9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственности в порядке, установленном федеральными законами.

 

9.2. Разглашение работником Общества персональных данных другого работника, ставшими ему известными в связи с исполнением трудовых обязанностей, является основанием для увольнения такого работника (пп. "в" п. 6 ч. 1 ст. 81 Трудового кодекса РФ). 

 

9.3. Разглашение персональных данных работников лицом, принявшим на себя ответственность за неразглашение персональных данных, является основанием для привлечения такого лица к полной материальной ответственности (п. 7 ч. 1 ст. 243 Трудового кодекса РФ).

 

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

10.1. Настоящее Положение является локальным нормативным актом, имеющим обязательную юридическую силу для всех работников Общества.

 

10.2. Настоящее Положение утверждается приказом Директора Общества и вводится в действие с момента, определенного в нем. Изменения и дополнения настоящего Положения производятся в порядке, установленном для его принятия и утверждения.

 

10.3. Все работники и их представители (в случае их наличия) должны быть ознакомлены под роспись с настоящим Положением. При приеме на работу работник должен быть ознакомлен с настоящим Положением до заключения трудового договора. 

 

10.4. Факт ознакомления работниками с настоящим Положением фиксируется в Листе ознакомления с Положением о персональных данных, приведенном в Приложении № 1 к настоящему Положению. Факт ознакомления может также фиксироваться в тексте трудового договора, заключаемого с работником, либо в специальном журнале ознакомления работников с локальными нормативными актами, форма которого подлежит утверждению Директором Общества.




Возник вопрос?

Введите ваше имя и номер телефона,
мы перезвоним и дадим исчерпывающий ответ!

Что еще?

— Прочтите отзывы наших Клиентов

— Изучите успешные кейсы

— Взгляните в наши открытые лица