СОДЕРЖАНИЕ

1. Термины и определения………………………………………………………………………3

2. Общие положения……………………………………………………………………………..4

3. Понятие и состав персональных данных…………………………………………………….5

4. Категории субъектов персональных данных…………………………………………………9

5. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных……………………………………………………………………………9

6. Порядок и условия обработки персональных данных………………………………………10

7. Доступ к персональным данным…………………………………………………………….15

8. Права и обязанности Работника……………………………………………………………..16

9. Сроки обработки и хранения персональных данных………………………………………17

10. Порядок блокирования и уничтожения персональных данных………………………….17

11. Защита персональных данных……………………………………………………………..18

12. Ответственность за нарушения в области обработки персональных данных…………..21

13. Заключительные положения……………………………………………………………….21

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Работодатель – Общество с ограниченной ответственностью «МАРкетинг и КОНсалтинг» (ООО «МАРКОН»).

Работник – физическое лицо, заключившее с Работодателем трудовой договор и осуществляющее трудовую деятельность у Работодателя, в том числе на условиях внутреннего и внешнего совместительства, а также на условиях дистанционной работы.

ТК РФ – Трудовой кодекс Российской Федерации.

Федеральный закон — Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».

Практикант – физическое лицо, обучающееся в высшем или среднем специальном учебном заведении, проходящее производственную и/или учебную практику у Работодателя с целью применения, закрепления теоретических знаний, подготовки к трудовой деятельности.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящее Положение об обработке и защите персональных данных Общества с ограниченной ответственностью «МАРкетинг и КОНсалтинг» (далее по тексту – «Положение») является внутренним локальным нормативным актом Работодателя, содержащим в соответствии с ст.8 ТК РФ нормы трудового права, и направлено на защиту персональных данных Работников.

2.2. Положение разработано в соответствии с нормами Конституции Российской Федерации, ТК РФ, Федерального закона и других федеральных законов, нормативно-правовых актов Российской Федерации.

2.3. Цель Положения — определение порядка обработки персональных данных Работников и иных субъектов персональных данных, персональные данные которых подлежат обработке Работодателем на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. Работников, при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц Работодателя, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.4. Положение распространяет свое действие на Работников Работодателя и иных субъектов персональных данных, персональные данные которых обрабатываются Работодателем, и обязательно для исполнения Работодателем и всеми Работниками.

2.5. В Положении устанавливаются:

— цель, порядок и условия обработки персональных данных;

— категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;

— положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также на устранение последствий таких нарушений.

2.6. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Работодателя, если иное не определено законодательством Российской Федерации.

2.7. Все вопросы, связанные с обработкой персональных данных, не урегулированные Положением, разрешаются в соответствии с законодательством Российской Федерации в области персональных данных.

2.8. Действие Положения не распространяется на отношения, возникающие при:

1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;

2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

3. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Для целей Положения используются следующие основные понятия наряду с терминами и определениями, содержащимися в разделе 1 Положения:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом;

— оператор — государственный орган, муниципальный орган, Работодатель, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3.2. Состав персональных данных Работника:

— фамилия, имя, отчество;

— пол, возраст;

— сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;

— место жительства;

— семейное положение, наличие детей, состав семьи, родственные связи;

— факты биографии и предыдущая трудовая деятельность (в том числе место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

— финансовое положение, сведения о заработной плате;

— паспортные данные;

— сведения о воинском учете;

— сведения о социальных льготах;

— специальность;

— занимаемая должность;

— размер заработной платы;

— наличие судимостей;

— номера телефонов;

— содержание трудового договора;

— подлинники и копии приказов по личному составу;

— личные дела, трудовые книжки и сведения о трудовой деятельности;

— основания к приказам по личному составу;

— дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;

— копии отчетов, направляемых в органы статистики;

— сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей (данные персональные данные обрабатываются Работодателем только в случаях, предусмотренных законодательством Российской Федерации согласно п.5.3. Положения);

— фотографии и иные сведения, относящиеся к персональным данным Работника;

— принадлежность лица к конкретной нации, этнической группе, расе (данные персональные данные обрабатываются Работодателем только в случаях, предусмотренных законодательством Российской Федерации согласно п.5.3. Положения);

— религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.) (данные персональные данные обрабатываются Работодателем только в случаях, предусмотренных законодательством Российской Федерации согласно п.5.3. Положения);

— деловые и иные личные качества, которые носят оценочный характер;

— номер телефона, адрес электронной почты, иные контакты;

— прочие сведения, которые могут прямо или косвенно идентифицировать Работника, в том числе указанные в п.5.2. Положения.

Из указанного списка Работодатель вправе получать и использовать только те сведения, которые характеризуют Работника как сторону трудового договора.

3.3. Сведения, указанные в 3.2. Положения, и документы, их содержащие, являются конфиденциальными. 

3.4. Документами, содержащими персональные данные Работников, являются:

— комплексы документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

— комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;

— подлинники и копии приказов (распоряжений) по кадрам;

— личные дела, трудовые книжки, сведения о трудовой деятельности Работников (СТД-Р);

— дела, содержащие материалы аттестаций Работников;

— дела, содержащие материалы внутренних расследований;

— справочно-информационный банк данных по персоналу (картотеки, журналы);

— копии отчетов, направляемых в государственные контролирующие органы;

— иные документы, оформляемые Работодателем согласно требованиям законодательства Российской Федерации.

3.5. В состав документов, содержащих персональные данные Работников входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах работы Работника, а также комплекс документов, сопровождающий процесс оформления трудовых отношений Работника у Работодателя при его приеме, переводе и увольнении.

3.6. Информация, представляемая Работником при поступлении на работу к Работодателю, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет Работодателю:

— паспорт или иной документ, удостоверяющий личность;

— трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;

— документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;

— документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;

— документ об образовании и (или) о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;

— справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и  по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, — при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с ТК РФ, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию;

— справку о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ, которая выдана в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, — при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с федеральными законами не допускаются лица, подвергнутые административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ, до окончания срока, в течение которого лицо считается подвергнутым административному наказанию.

3.7. При оформлении Работника у Работодателя уполномоченным Работником Работодателя заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные Работника:

— общие сведения (Ф.И.О. Работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

— сведения о воинском учете;

— данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

— сведения о переводах на другую работу;

— сведения об аттестации;

— сведения о повышении квалификации;

— сведения о профессиональной переподготовке;

— сведения о наградах (поощрениях), почетных званиях;

— сведения об отпусках;

— сведения о социальных гарантиях;

— сведения о месте жительства и контактных телефонах.

3.8. Работодателем создаются и хранятся следующие группы документов, содержащие данные о Работниках в единичном или сводном виде:

3.8.1. Документы, содержащие персональные данные Работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки Работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации Работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Работодателя, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

3.8.2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции Работников, приказы, распоряжения, указания руководства Работодателя); документы по планированию, учету, анализу и отчетности в части работы с персоналом Работодателя.

4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. К субъектам, персональные данные которых обрабатываются Работодателем в соответствии с Положением, относятся:

4.1.1. Работники.

4.1.2. Субъекты персональных данных, чьи персональные данные обрабатываются Работодателем;

— кандидаты для приема на работу к Работодателю 

— бывшие Работники Работодателя;

— Практиканты;

— члены семей Работников — в случаях, когда согласно законодательству сведения о них предоставляются Работником;

— иные лица, персональные данные которых Работодатель обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ (ПЕРЕЧНИ) ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Согласно Положению персональные данные обрабатываются Работодателем с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:

— при содействии в трудоустройстве;

— ведении кадрового и бухгалтерского учета;

— содействии Работникам в получении образования и продвижении по службе;

— оформлении награждений и поощрений;

— предоставлении со стороны Работодателя установленных законодательством условий труда, гарантий и компенсаций;

— заполнении и передаче в уполномоченные органы требуемых форм отчетности;

— обеспечении личной безопасности Работников и сохранности имущества Работника и Работодателя;

— осуществлении контроля за количеством и качеством выполняемой работы.

5.2. В соответствии с целью, указанной в п.5.1. Положения, Работодателем обрабатываются следующие персональные данные:

— фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);

— пол;

— дата (число, месяц, год) и место рождения;

— фотографическое изображение;

— сведения о гражданстве;

— вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

— страховой номер индивидуального лицевого счета (СНИЛС);

— идентификационный номер налогоплательщика (ИНН);

— адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

— номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;

— реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

— сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);

— сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);

— информация о владении иностранными языками;

— сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);

— сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;

— сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории Российской Федерации (для иностранных граждан, пребывающих в Российскую Федерацию);

— сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в Российской Федерации), виде на жительство (для иностранных граждан, постоянно проживающих в Российской Федерации);

— сведения о доходах, обязательствах по исполнительным документам;

— номера расчетного счета, банковской карты;

— сведения о состоянии здоровья (для отдельных категорий Работников);

— сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий Работников);

— иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством Российской Федерации, если обработка этих данных соответствует цели обработки, предусмотренной п. 5.1. Положения;

— иные персональные данные, которые Работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п.5.1. Положения.

5.3. Работодатель не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состоянии здоровья, за исключением случаев, предусмотренных законодательством Российской Федерации.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется Работодателем на принципах:

— законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Работодателя;

— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;

— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Работодатель принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, трудовым договором с Работником или иным договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, чьи персональные данные обрабатываются Работодателем. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

6.2. До начала обработки персональных данных Работодатель обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

6.3. Правовым основанием обработки персональных данных являются ТК РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон, Закон Российской Федерации от 19.04.1991 N 1032-1 «О занятости населения в Российской Федерации», Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 N 719 «Об утверждении Положения о воинском учете», иные законы  нормативно-правовые акты Российской Федерации.

6.4. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и Положением.

6.5. Обработка персональных данных у Работодателя выполняется следующими способами:

— неавтоматизированная обработка персональных данных;

— автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

— смешанная обработка персональных данных.

6.6. Обработка персональных данных Работодателем осуществляется с письменного согласия Работника или субъекта персональных данных, чьи персональные данные обрабатываются Работодателем, на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

6.6.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных Федеральным законом.

Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется Работником или иным субъектом персональных данных, чьи персональные данные обрабатываются Работодателем, лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.

Работодатель обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Работодателю требования Работника о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных для распространения.

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

6.6.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные Федеральным законом.

6.7. Работодатель не осуществляет трансграничную передачу персональных данных.

6.8. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

6.8.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных у Работодателя осуществляются посредством:

— получения оригиналов документов либо их копий;

— копирования оригиналов документов;

— внесения сведений в учетные формы на бумажных и электронных носителях;

— создания документов, содержащих персональные данные, на бумажных и электронных носителях;

— внесения персональных данных в информационные системы персональных данных.

Работник представляет Работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные Работником, с имеющимися у Работника документами. Представление Работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

6.8.2. Работодателем используются следующие информационные системы:

— корпоративная электронная почта;

— система электронного документооборота;

— система поддержки рабочего места пользователя;

— система нормативно-справочной информации;

— система управления персоналом;

— система контроля удаленным доступом;

— информационный портал.

6.9. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.

6.10. При передаче персональных данных Работника Работодатель соблюдает следующие требования:

— не сообщать персональные данные Работника третьей стороне без письменного согласия Работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника, а также в случаях, установленных Федеральным законом;

— не сообщать персональные данные Работника в коммерческих целях без его письменного согласия;

— предупредить лиц, получающих персональные данные Работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными Работников в порядке, установленном федеральными законами;

— разрешать доступ к персональным данным Работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Работника, которые необходимы для выполнения конкретных функций;

— не запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции;

— передавать персональные данные Работника представителям Работников в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными Работника, которые необходимы для выполнения указанными представителями их функций.

6.11. Все персональные данные Работника получаются Работодателем непосредственно у самого Работника. Если персональные данные Работника возможно получить только у третьей стороны, то Работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.12. Работодатель должен сообщить Работнику и иным субъектам персональных данных, чьи персональные данные обрабатываются Работодателем, о целях, предполагаемых источниках и способах получения персональных данных, перечень персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Работника дать письменное согласие на их получение.

6.13. При поступлении на работу Работодатель вправе требовать от Работника заполнения анкеты и автобиографии.

6.13.1. Анкета представляет собой перечень вопросов о персональных данных Работника.

6.13.2. Анкета заполняется Работником самостоятельно. При заполнении анкеты Работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.

6.13.3. Автобиография — документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого Работника.

6.13.4. Автобиография составляется в произвольной форме, без помарок и исправлений.

6.13.5. Анкета и автобиография Работника должны храниться в личном деле Работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным Работника.

6.13.6. Личное дело Работника оформляется после издания приказа о приеме на работу.

6.13.7. Все документы личного дела подшиваются в обложку образца, установленного Работодателем. На ней указываются фамилия, имя, отчество Работника, номер личного дела.

6.13.8. К каждому личному делу прилагаются две цветные фотографии Работника.

6.13.9. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.

6.13.10. Личное дело ведется на протяжении всей трудовой деятельности Работника у Работодателя. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

6.14. Работодатель не имеет права получать и обрабатывать персональные данные Работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных ТК РФ, другими федеральными законами и Положением. 

6.15. Работодатель не имеет права получать и обрабатывать персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами, а также Положением.

6.16. В соответствии ТК РФ в целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных Работника должны соблюдать, в частности, следующие общие требования:

6.16.1. При определении объема и содержания обрабатываемых персональных данных Работника Работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ, Федеральным законом и иными федеральными законами.

6.16.2. При принятии решений, затрагивающих интересы Работника, Работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

6.16.3. Защита персональных данных Работника от неправомерного их использования, утраты обеспечивается Работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.

6.16.4. Работники и их представители должны быть ознакомлены под роспись с Положением и иными локальными нормативными актами  и документами Работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

6.16.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1. Внутренний доступ.

Право доступа к персональным данным Работника, а также к персональным данным субъектов персональных данных, чьи персональные данные обрабатываются Работодателем, имеют:

— руководитель Работодателя;

— руководитель отдела кадров;

— руководители структурных подразделений по направлению деятельности (доступ к личным данным только Работников своего подразделения) по согласованию с руководителем Работодателя;

— при переводе из одного структурного подразделения в другое доступ к персональным данным Работника может иметь руководитель нового подразделения по согласованию с руководителем Работодателя;

— Работники бухгалтерии — к тем данным, которые необходимы для выполнения конкретных функций;

— сам Работник, носитель данных.

7.2. Внешний доступ.

Работодатель вправе осуществлять передачу персональных данных Работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника, а также в других случаях, предусмотренных законодательством Российской Федерации.

Перед передачей персональных данных Работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.

Не требуется согласие Работника на передачу персональных данных:

— третьим лицам в целях предупреждения угрозы жизни и здоровью Работника;

— в Фонд пенсионного и социального страхования Российской Федерации в объеме, предусмотренном законодательством Российской Федерации;

— в налоговые органы;

— в военные комиссариаты;

— по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства Работодателем;

— по мотивированному запросу органов прокуратуры;

— по мотивированному требованию правоохранительных органов и органов безопасности;

— по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;

— по запросу суда;

— в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;

— в случаях, связанных с исполнением Работником должностных обязанностей;

— в кредитную организацию, обслуживающую платежные карты Работников.

7.3. Другие организации.

Сведения о Работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления Работника, подписанного собственноручной подписью Работника.

7.4. Родственники и члены семей.

Персональные данные Работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Работника.

8. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА

8.1. Работник обязан:

8.1.1. Передавать Работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен ТК РФ и Положением.

8.1.2. Своевременно в разумный срок, не превышающий пяти дней, сообщать Работодателю об изменении своих персональных данных.

8.2. Работник имеет право:

8.2.1. На полную информацию о своих персональных данных и обработке этих данных.

8.2.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Работника, за исключением случаев, предусмотренных законодательством Российской Федерации.

8.2.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.

8.2.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе Работодателя исключить или исправить персональные данные Работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

8.2.5. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

8.2.6. Обжаловать в суд любые неправомерные действия или бездействие Работодателя при обработке и защите его персональных данных.

8.2.7. Определять своих представителей для защиты своих персональных данных.

8.2.8. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Работника, а также перечень персональных данных, обработка которых подлежит прекращению.

8.2.9. В любое время отозвать свое согласие на обработку его персональных данных.

9. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Обработка персональных данных прекращается Работодателем в следующих случаях:

— при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки — в течение трех рабочих дней с даты выявления такого факта;

— при достижении целей их обработки (за некоторыми исключениями, предусмотренными Федеральным законом);

— по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями, предусмотренными Федеральным законом), если в соответствии Федеральным законом их обработка допускается только с согласия;

— при обращении субъекта персональных данных к Работодателю с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных Федеральным законом). Срок прекращения обработки — не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

9.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение — случаи, когда срок хранения персональных данных установлен Федеральным законом, трудовым договором или договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, чьи персональные данные обрабатываются Работодателем.

9.3. Персональные данные на бумажных носителях хранятся Работодателем в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации.

9.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

10. ПОРЯДОК БЛОКИРОВАНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Работодатель блокирует персональные данные в порядке и на условиях, предусмотренных законодательством Российской Федерации в области персональных данных.

10.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются или обезличиваются. Исключение может предусматривать Федеральный закон.

10.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления Работником или субъектом персональных данных, чьи персональные данные обрабатываются Работодателем (его представителем), подтверждающих сведений.

10.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение десяти рабочих дней с даты выявления неправомерной обработки.

10.5. Персональные данные уничтожаются Работодателем в течение тридцати дней с даты достижения цели обработки, если иное не предусмотрено трудовым договором или договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, чьи персональные данные обрабатываются Работодателем, иным соглашением между ним и Работодателем либо если Работодатель не вправе обрабатывать персональные данные без согласия Работника или субъекта персональных данных, чьи персональные данные обрабатываются Работодателем, на основаниях, предусмотренных Федеральным законом или иными федеральными законами.

10.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение тридцати дней.

10.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение тридцати дней с даты поступления отзыва Работником или субъектом персональных данных, чьи персональные данные обрабатываются Работодателем, согласия на их обработку. Иное может предусматривать трудовой договор или договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, чьи персональные данные, обрабатываются Работодателем,  иное соглашение между ним и Работодателем. Кроме того, персональные данные уничтожаются в указанный срок, если Работодатель не вправе обрабатывать их без согласия Работника или субъекта персональных данных, чьи персональные данные обрабатываются Работодателем, на основаниях, предусмотренных Федеральным законом или иными федеральными законами.

10.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Работодателя, обрабатывающие персональные данные.

10.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом Генерального директора Работодателя.

10.8.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

10.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

10.8.3. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении. Форма акта утверждается приказом Генерального директора Работодателя.

11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Без письменного согласия Работника или субъекта персональных данных, чьи персональные данные обрабатываются Работодателем, Работодатель не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено Федеральным законом.

11.1.1. Запрещено раскрытие и распространение персональных данных Работников и субъектов персональных данных, чьи персональные данные обрабатываются Работодателем, по телефону.

11.2. С целью защиты персональных данных у Работодателя приказами Генерального директора Работодателя назначаются (утверждаются):

— Работник, ответственный за организацию обработки персональных данных;

— перечень должностей, при замещении которых обрабатываются персональные данные;

— перечень персональных данных, к которым имеют доступ Работники, занимающие должности, предусматривающие обработку персональных данных;

— порядок доступа в помещения, в которых ведется обработка персональных данных;

— порядок передачи персональных данных в пределах Работодателя;

— форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

— порядок защиты персональных данных при их обработке в информационных системах персональных данных;

— порядок проведения внутренних расследований, проверок;

— иные локальные нормативные акты, принятые Работодателем в соответствии с требованиями законодательства Российской Федерации в области персональных данных.

11.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

11.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Работодателя, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под роспись уполномоченных должностным лицам.

11.5. Доступ к персональной информации и персональным данным, содержащимся в информационных системах Работодателя, осуществляется по индивидуальным паролям.

11.6. У Работодателя используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

11.7. Работники Работодателя, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства Российской Федерации в области персональных данных.

11.8. В должностные инструкции Работников Работодателя, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.

11.9. Работодателем проводятся внутренние расследования в следующих ситуациях:

— при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав Работников или субъектов персональных данных, чьи персональные данные обрабатываются Работодателем;

— в иных случаях, предусмотренных законодательством Российской Федерации в области персональных данных.

11.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:

— за соблюдением Работниками, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, Положения и иных локальных нормативных актов Работодателя;

— соответствием указанных актов, требованиям законодательства Российской Федерации в области персональных данных.

Внутренний контроль осуществляется в виде внутренних проверок.

11.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается Генеральным директором Работодателя.

11.10.2. Внутренние внеплановые проверки осуществляются по решению Работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства Российской Федерации в области персональных данных, поступившая в устном или письменном виде.

11.10.3. По итогам внутренней проверки оформляется докладная записка на имя Генерального директора Работодателя. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.

11.11. Работодателем проводится внутреннее расследование, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Работников или субъектов персональных данных, чьи персональные данные обрабатываются Работодателем (далее — инцидент).

11.11.1. В случае инцидента Работодатель в течение двадцати четырех часов уведомляет Роскомнадзор:

— об инциденте;

— его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;

— принятых мерах по устранению последствий инцидента;

— представителе Работодателя, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

11.11.2. В течение семидесяти двух часов Работодатель обязан сделать следующее:

— уведомить Роскомнадзор о результатах внутреннего расследования;

— предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

11.12. В случае предоставления Работником или субъектом персональных данных, чьи персональные данные обрабатываются Работодателем, (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Работодатель уведомляет в письменном виде Работника или субъекта персональных данных, чьи персональные данные обрабатываются Работодателем, (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.

11.13. Работодатель уведомляет Работника или субъекта персональных данных, чьи персональные данные обрабатываются Работодателем, (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение Работника или субъекта персональных данных, чьи персональные данные обрабатываются Работодателем, (его представителя) либо сам сделал запрос.

11.13.1. В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с п.11.13. Положения.

11.14. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Работодатель уведомляет Работника или субъекта персональных данных, чьи персональные данные обрабатываются Работодателем, (его представителя) о принятых мерах в письменном виде. Работодатель уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ, Федеральным законом и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

12.2. Моральный вред, причиненный Работнику или субъекту персональных данных, чьи персональные данные обрабатываются Работодателем, вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Работником или субъектом персональных данных, чьи персональные данные обрабатываются Работодателем, убытков.

12.3. Контроль за исполнением Положения возложен на Генерального директора Работодателя.

12.4. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной или уголовной ответственности.

12.3. Руководители структурных подразделений Работодателя несут персональную ответственность за исполнение обязанностей их подчиненными.

13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

13.1. Положение вступает в силу в дату принятия его Работодателем и применяется к отношениям, возникшим после введения его в действие. В отношениях, возникших до введения его в действие, Положение применяется к правам и обязанностям, возникшим после введения его в действие.

13.2. Действие Положения распространяется также на субъектов персональных данных, чьи персональные данные обрабатываются Работодателем, в той мере в какой это необходимо в целях обработки и защиты их персональных данных в соответствии с требованиями законодательства Российской Федерации в области персональных данных. 

13.3. Положение либо отдельные его нормы прекращают свое действие по следующим причинам:

13.3.1. Отмена (признание утратившими силу) Положения либо отдельных его норм другим локальным нормативным актом Работодателя;

13.3.2. Вступление в силу закона или иного нормативного правового акта, содержащего нормы трудового права, коллективного договора, соглашения (если указанные акты устанавливают иные правила в области персональных данных по сравнению с установленными Положением).

13.4. При приеме на работу (до подписания трудового договора) Работодатель обязан ознакомить Работника под подпись с Положением. Ознакомление с Положением дистанционных Работников может осуществляться путем обмена электронными документами.

13.5. По всем вопросам, не урегулированным Положением, Работники и Работодатель руководствуются положениями Конституции Российской Федерации, ТК РФ, Федерального закона, федеральных законов и нормативных правовых актов Российской Федерации, содержащих нормы трудового права, нормы в области обработки персональных данных.

13.6. Работодатель вправе вносить изменения в Положение. Внесение изменений в Положение производится приказом Генерального директора Работодателя. Изменения вступают в силу с момента, установленного приказом Генерального директора Работодателя.

13.7. Работодатель вправе размещать Положение на своем сайте в информационно-телекоммуникационной сети Интернет.