ПОЛОЖЕНИЕ
Об обработке и защите персональных данных в ООО «УК «Центр»
1. Общие положения
1.1. Настоящее Положение является локальным нормативным актом ООО "УК «Центр» (далее - Общество), разработано в соответствии со следующими документами: Конституцией Российской Федерации (статья 24); Трудовым кодексом Российской Федерации; Гражданским кодексом Российской Федерации; Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»); иными нормативными правовыми актами Российской Федерации и локальными нормативными актами Общества, регламентирующими вопросы обработки персональных данных.
1.2. В Положении устанавливаются:
- цель, порядок и условия обработки персональных данных;
- категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
- положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, а также на устранение последствий таких нарушений.
1.3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.4. Положение вступает в силу с момента его утверждения единоличным исполнительным органом и действует до его отмены приказом такого органа или до введения нового Положения.
1.5. Внесение изменений в Положение производится приказом единоличного исполнительного органа. Изменения вступают в силу с момента подписания соответствующего приказа.
2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Положением, относятся:
- кандидаты для приема на работу в Общество;
- работники Общества;
- бывшие работники Общества;
- члены семей работников Общества - в случаях, когда согласно законодательству сведения о них предоставляются работником;
- физические лица, обратившиеся с заявлениями (обращениями), физические лица, осуществляющие переписку с Обществом;
- контрагенты (в том числе бенефициары юридических лиц, физические лица, состоящие в трудовых отношениях с контрагентами, осуществляющие функции органов управления, иные представители контрагентов);
-клиенты, посетители;
-иные лица, персональные данные которых Общество обрабатывает в связи с осуществлением Обществом своей деятельности.
2.2. В соответствии с пунктом 5 части 1 статьи 6 Закона допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора но инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3. Цели обработки персональных данных, категории (перечни) обрабатываемых персональных данных
3.1. Согласно Положению персональные данные обрабатываются в целях обеспечения соблюдения требований действующего законодательства и локальных нормативных актов Общества, содействия работникам Общества в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников Общества, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества, пропуска субъектов персональных данных на объекты Общества, а также в других целях, предусмотренных Уставом, иными локальными нормативными актами Общества и при необходимости согласием субъекта персональных данных.
3.2. В соответствии с целью, указанной в п. 3.1 Положения, в Обществе обрабатываются следующие персональные данные:
• фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
• пол, возраст;
• год, месяц, дата и место рождения;
• сведения о гражданстве;
• реквизиты документа, удостоверяющего личность;
• идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;
• номер свидетельства обязательного пенсионного страхования, дата регистрации в системе обязательного пенсионного страхования;
• номер полиса обязательного медицинского страхования;
• адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;
• почтовый и электронный адреса, номера телефонов и (или) сведения о других способах связи;
• изображение (фотография и видеозапись);
• сведения об образовании, профессии, специальности и квалификации, профессиональной подготовке, сведения о повышении квалификации реквизиты документов об образовании;
• сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества, даты (число, месяц, год) и места рождения);
• сведения об имущественном положении, доходах, задолженности, в том числе обязательствах по исполнительным документам, сведения об удержании алиментов;
• сведения о занимаемых ранее должностях и стаже работы, сведения о предыдущих местах работы, доходах с предыдущих мест работы воинской обязанности, воинском учете и реквизиты документов воинского учёта (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
• сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ)
• дата приема на работу;
• должность, по которой выполняются трудовые обязанности;
• информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности;
• размер заработной платы;
• сведения об инвалидности;
• сведения о деловых и иных личных качествах, носящих оценочный характер;
• сведения о принадлежащих акциях, долях участия в уставных капиталах юридических лиц;
• сведения об участии в органах управления юридических лиц
• иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Положения;
• иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 3.1 Положения.
3.3. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
4. Порядок и условия обработки персональных данных
4.1. До начала обработки персональных данных Общество обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
4.2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете".
4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
4.4. Обработка персональных данных в Обществе выполняется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
4.5. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
4.6. Обрабатываемые в Обществе персональные данные содержатся: на бумажных носителях, в том числе в личных делах работников Общества, в карточках, журналах, реестрах и в других документах; в электронном виде в информационных системах персональных данных Общества, а также на внешних электронных носителях (CD- и DVD- диски, флэш-карты и т.п.), в файлах, хранящихся на автоматизированных рабочих местах.
4.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.7.1. Непосредственно сбор, запись, систематизация, накопление, уточнение (обновление, изменение), извлечение и использование персональных данных осуществляются при: получении оригиналов необходимых документов, предоставляемых работниками Общества, кандидатами на замещение вакантных должностей в Обществе и другими субъектами персональных данных; получении заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов; формировании персональных данных в ходе кадровой работы; получении информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъекта персональных данных; получении персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации; получении персональных данных из общедоступных источников; фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах; внесении персональных данных в информационные системы персональных данных Общества; использовании иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.
4.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением. Общество не осуществляет трансграничную передачу персональных данных.
4.9. Общество вправе поручить обработку персональных данных работников Общества и других субъектов персональных данных другому лицу с согласия указанных субъектов персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных и настоящим Положением.
5. Сроки обработки и хранения персональных данных
5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6. Порядок блокирования и уничтожения персональных данных
6.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.
6.5. В случае достижения цели обработки или при утрате необходимости в ее достижении - не превышающие 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных, либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
6.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
6.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом единоличного исполнительного органа Общества.
6.8.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
6.8.2. Персональные данные на бумажных носителях уничтожаются путем измельчения в сечку, сожжения, механического уничтожения, сдачи для утилизации в специальные организации. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.8.3. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении. Форма акта утверждается приказом генерального директора.
7. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений
7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
7.1.1. Запрещено раскрытие и распространение персональных данных субъектов персональных данных по телефону.
7.2. С целью защиты персональных данных в Обществе приказами директора назначается (утверждаются):
- работник, ответственный за организацию обработки персональных данных;
- перечень должностей, при замещении которых обрабатываются персональные данные;
- перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
- форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами.
7.5. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
7.6. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
7.7. Работники Общества, обрабатывающие персональные данные, при необходимости периодически проходят обучение требованиям законодательства в области персональных данных.
7.8. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
7.9. В Обществе проводятся внутренние расследования в следующих ситуациях:
- при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- в иных случаях, предусмотренных законодательством в области персональных данных.
7.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
- за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
- соответствием указанных актов, требованиям законодательства в области персональных данных.
Внутренний контроль проходит в виде внутренних проверок.
7.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается генеральным директором.
7.10.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
7.10.3. По итогам внутренней проверки оформляется докладная записка на имя генерального директора. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.
7.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
7.11.1. В случае инцидента Общество в течение 24 часов уведомляет Роскомнадзор:
- об инциденте;
- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
- принятых мерах по устранению последствий инцидента;
- представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
7.11.2. В течение 72 часов Общество обязано сделать следующее:
- уведомить Роскомнадзор о результатах внутреннего расследования;
- предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
7.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
7.13. Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
7.13.1. В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с п. 7.13 Положения.
7.14. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
8. Ответственность за нарушение норм, регулирующих обработку персональных данных
8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.