Защита персональных данных

Защита персональных данных

1. Сокращения, термины и определения

В Положении об организации работы с персональными данными используются следующие сокращения и термины:

Общество/Оператор - Общество с ограниченной ответственностью «Доппельмайр Раша» - оператор персональных данных, организующий и осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Положение - Положение об организации работы с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность персональных данных - обязательное для соблюдения Оператором требование не допускать распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

Персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Сотрудник /работник - физическое лицо, состоящее в трудовых отношениях с Оператором.

Субъекты персональных данных: работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; клиенты и контрагенты оператора (физические лица); представители/работники клиентов и контрагентов оператора (юридических лиц).

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Трансграничная передача данных - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2. Общие положения

Положение определяет порядок сбора, хранения, обработки, передачи и любого другого использования персональных данных в Обществе с использованием средств автоматизации и без использования таких средств в соответствии с законодательством Российской Федерации.

Положение разработано в соответствии с:

  • Конституцией Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • ст. 226 Налогового Кодекса Российской Федерации;
  • Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете в Российской Федерации»,
  • Уставом ООО "Доппельмайр Раша"

Цели обработки: Кадровый учет сотрудников по трудовому договору; подбор кадров(сбор анкет (резюме) кандидатов на работу); содействие работнику в трудоустройстве, получении образования и продвижении по службе, выполнении должностных обязанностей; организация пропускного и внутриобъектового режимов; автоматизация обмена почтовыми сообщениями; организация командировок работников (бронирование отелей, гостиниц, заказ транспорта (заказ авиа- и железнодорожных билетов, заказ такси); предоставление персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования; выполнение требований по мобилизационной подготовке и гражданской обороне; выполнение требований по охране труда; бухгалтерский учет; налоговый учет; миграционный учет; перечисление денежных средств на зарплатные счета; осуществление деятельности, в соответствии с учредительными документами Общества; обеспечение личной безопасности работников и сохранности их имущества; заключение с субъектами персональных данных любых договоров и их дальнейшее исполнение; заключение с юридическими лицами, представителями которых являются субъекты персональных данных, любых договоров и их исполнение; предоставление персональных данных при проведение аудиторских проверок.

Обработка персональных данных: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.

Настоящее Положение является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.

3. Получение персональных данных

3.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и даёт письменное согласие на их обработку Оператору. В случае отказа предоставить персональные данные Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3.2. В случае недееспособности или несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законного представителя. Законный представитель самостоятельно принимает решение о предоставлении персональных данных субъекта и даёт письменное согласие на их обработку Оператору. В случае отказа предоставить персональные данные Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3.3. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

3.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае недееспособности или несовершеннолетия субъекта согласие может быть отозвано законным представителем субъекта персональных данных.

3.5. В случаях, когда Оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится в Обществе.

3.6. Случаи, в которых не требуется согласие субъекта на обработку персональных данных Оператором:

  • 3.6.1. Обработка персональных данных осуществляется на основании федерального законодательства, устанавливающего её цель, условия получения персональных данных и круг субъектов персональных данных, которые подлежат обработке;
  • 3.6.2. Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • 3.6.3. Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • 3.6.4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов сотрудника, если получение его согласия невозможно.

3.7. Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных в п.3.8., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

  • 3.7.1. Наименование и адрес Оператора или его представителя;
  • 3.7.2. Цель обработки персональных данных и её правовое основание;
  • 3.7.3. Предполагаемые пользователи персональных данных;
  • 3.7.4. Установленные федеральным законодательством права субъекта персональных данных;
  • 3.7.5. Источник получения персональных данных.

3.8. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, указанные в п.3.17, в случаях, если:

  • 3.8.1. Субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
  • 3.8.2. Персональные данные получены Оператором на основании действующего законодательства Российской Федерации или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • 3.8.3. Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника.
4.Обработка персональных данных

4.1. При обработке персональных данных обязаны соблюдаться следующие требования:

  • 4.1.1. Обработка персональных данных осуществляется с соблюдением Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации;
  • 4.1.2. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации;
  • 4.1.3. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы;
  • 4.1.4. Сотрудники или их законные представители должны быть ознакомлены под расписку с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

4.2. Оператором не установлена процедура по обезличиванию персональных данных.

4.3. Срок или условие прекращения обработки персональных данных: При достижении целей обработки персональных данных; по истечении срока, предусмотренного законом, договором, или согласием субъекта персональных данных на обработку его персональных данных; отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных с учетом достижения условий, предусмотренных ст. 21 ФЗ "О персональных данных"; при прекращении деятельности ООО "Доппельмайр Раша".

5. Порядок обработки персональных данных, осуществляемых без использования средств автоматизации и с использованием таких средств

5.1. Обработка персональных данных без использования средств автоматизации.

  • 5.1.1. Обработка персональных данных на материальных носителях считается осуществленной без использования средств автоматизации (неавтоматизированной).
  • 5.1.2. Обработка персональных данных без использования средств вычислительной техники осуществляется в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного Постановлением Правительства РФ от 15 сентября 2008 г. №687 Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных осуществляется в соответствии с требованиями «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства РФ от 01 ноября 2012 г. №1119.

5.2 Обработка персональных данных с использованием средств автоматизации.

5.2.1 Обработка персональных данных, содержащихся в базах данных информационной системы, осуществляется с помощью технических средств.

5.2.2. Оператором принимаются следующие меры: определение угроз безопасности персональных данных при их обработке в ИСПДн, организационные и технические меры по обеспечению безопасности персональных данных , применяются средства защиты информации, производится регулярная оценка эффективности применяемых мер по обеспечению безопасности персональных данных, учёт машинных носителей, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных, контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, б) Установлен 4 уровень защищенности персональных данных в информационных системах персональных данных; в) организационные и технические меры для защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения персональных данных; резервирование технических средств, дублирование массивов и носителей информации; использование средств защиты информации; размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории; г) организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных; д) предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

6. Хранение и уничтожение персональных данных

6.1. Хранение персональных данных субъектов у Оператора может осуществляться на бумажных и электронных носителях с ограниченным к ним доступом.

6.2. Личные дела хранятся в бумажном виде в папках, в специально отведённых шкафах, обеспечивающих защиту от несанкционированного доступа и копирования.

6.3. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

6.4. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

6.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.

6.6. Уничтожение носителей персональных данных производится комиссией, назначенной приказом Генерального директора Общества.

7. Распространение (передача) персональных данных

7.1. При передаче персональных данных субъекта Оператор обязан соблюдать следующие требования:

  • 7.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
  • 7.1.2. Передавать персональные данные субъекта персональных данных третьей стороне в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
  • 7.1.3. Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности. Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
  • 7.1.4. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
  • 7.1.5. Передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.

7.2. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

7.3. В случае развода, бывшая супруга (супруг) имеет право обратиться с письменным запросом о размере заработной платы работника без его согласия в соответствии с нормами трудового и семейного законодательства Российской Федерации.

7.4. Персональные данные субъектов не могут публиковаться в открытых источниках (СМИ, сайты в сети Интернет, информационные порталы, сетевые ресурсы с общим доступом) без их согласия, данного в установленной форме, если иное не предусмотрено Федеральным законом.

7.5. Персональные данные работника могут передаваться сторонним организациям для участия в тендерах, когда это необходимо по условиям проведения конкурса, а также вступления в Саморегулируемые организации.

7.6. Общедоступные источники персональных данных.

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники персональных данных субъектов персональных данных, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.

8. Доступ к персональным данным

8.1. Внутренний доступ (доступ внутри организации).

8.1.1. Перечень лиц, имеющих доступ к персональным данным и осуществляющих их обработку, определяется приказом Генерального директора Общества.

8.1.2. Доступ субъекта персональных данных к своим персональным данным предоставляется при личном обращении либо при получении письменного запроса.

8.1.3. Ответственный за организацию обработки персональных данных, назначаемый приказом Генерального директора, может предоставить временный доступ к персональным данным работнику, не имеющему постоянный доступ к ним, в целях выполнения порученного задания и на основании служебной записки. В таком случае информация ограничена только теми персональными данными которые необходимы в рамках выполнения задания, и доступ к ней закрывается сразу после его выполнения.

8.2. Внешний доступ.

8.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; военкоматы; органы социального страхования; пенсионные фонды; подразделения муниципальных органов управления;

8.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции;

8.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

8.2.4. Другие организации.Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

9. Защита персональных данных

9.1. Оператор при обработке персональных данных обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий в отношении персональных данных.

9.2. Обеспечение безопасности персональных данных достигается, в частности:

  • а) Назначение ответственного за организацию обработки персональных данных, разработка и издание локальных нормативных актов, определяющих политику оператора в отношении обработки персональных данных, осуществление регулярного контроля соответствия обработки персональных данных законодательству РФ, проведение оценки вреда, который может быть причинен субъектам персональных данных, ознакомление и обучение сотрудников правилам работы с персональными данными. Также принимаются следующие меры: определение угроз безопасности персональных данных при их обработке в ИСПДн, организационные и технические меры по обеспечению безопасности персональных данных , применяются средства защиты информации, производится регулярная оценка эффективности применяемых мер по обеспечению безопасности персональных данных, учёт машинных носителей, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных, контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных,
  • б) Установлен 4 уровень защищенности персональных данных в информационных системах персональных данных;
  • в) организационные и технические меры для защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения персональных данных; резервирование технических средств, дублирование массивов и носителей информации; использование средств защиты информации; размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
  • г) организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
  • д) предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
10. Обязанности Оператора и субъектов персональных данных

10.1. Оператор обязан использовать персональные данные только в соответствии с целями обработки, определившими их получение.

10.2. Оператор обязан не отвечать на запросы, связанные с передачей персональных данных, по телефону или факсу.

10.3. Обеспечить защиту персональных данных в соответствии с пунктом 8 настоящего Положения.

10.4. При обнаружении нарушений порядка предоставления персональных данных Оператор обязан незамедлительно приостановить предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

10.5. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

11. Права субъектов персональных данных

11.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

11.2 Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

12. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных

12.1. Персональная ответственность — одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

12.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несёт персональную ответственность за данное разрешение.

12.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, материальную, административную, уголовную ответственность, предусмотренную действующим законодательством Российской Федерации.

12.4. Каждый сотрудник несёт единоличную ответственность за сохранность и конфиденциальность полученных в процессе работы персональных данных субъектов.

12.5. За неисполнение или ненадлежащее исполнение сотрудником возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера руководство Оператора вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

12.6. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законодательством, либо предоставление неполной или заведомо ложной информации - влечёт наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.