ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «СЕНТИСС РУС» утверждена приказом ООО «Сентисс Рус» от 25.12.2023 № SRF/HR/035/00
1.1. Положение об обработке и защите персональных данных (далее – Положение) определяет порядок обработки персональных данных субъектов персональных данных в Обществе с ограниченной ответственностью «Сентисс Рус» (далее – Оператор, Общество).
1.2. Цель разработки Положения – определение порядка обработки персональных данных в Обществе, обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Настоящее Положение является обязательным для исполнения всеми Работниками Общества, имеющими постоянный доступ к персональным данным или получившим разовый доступ к персональным данным работников Общества.
1.4. Положение разработано на основании следующих нормативных документов:
Федеральный закон от 27 июля 2006 года № 152 «О персональных данных»;
Трудовой кодекс Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
Федеральный закон от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 21.07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты российской федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;
Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ Федеральная служба по техническому и экспортному контролю России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.5. Действие настоящего Положения распространяется на персональные данные, обрабатываемые Оператором как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
1.6. Все работники Оператора, допущенные к работе с персональными данными, в обязательном порядке должны быть ознакомлены с настоящим Положением под подпись в «Журнале учета ознакомления должностных лиц с правилами обеспечения безопасности персональных данных» (Приложение № 1).
1.7. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Оператора и действует бессрочно до замены его новым Положением.
1.8. Пересмотр Положения производится в следующих случаях:
при изменении процессов и технологий обработки персональных данных;
по результатам проверок органа по защите прав субъектов персональных данных, выявившим несоответствия требованиям законодательства Российской Федерации по обеспечению безопасности персональных данных;
при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности персональных данных;
в случае выявления существенных нарушений по результатам внутренних проверок системы защиты персональных данных.
Оператор (Компания, Общество, Работодатель) – общество с ограниченной ответственностью «Сентисс Рус» (ООО «Сентисс Рус»), осуществляющее обработку персональных данных, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Работник (Работники, субъект персональных данных) – физическое лицо, которое заключило трудовой договор с Работодателем, и которому относятся его персональные данные.
Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.
Персональные данные / ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Информационная система персональных данных / ИСПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Автоматизированная обработка персональных данных - обработка ПДн с помощью средств вычислительной техники;
Конфиденциальность персональных данных – обязательное для соблюдения Работниками, получившими доступ к персональным данным, требование не допускать распространение ПДН без согласия субъекта ПДн или иного законного основания.
Закон № 152-ФЗ - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
ИСПДн
–
информационная система ПДн
ПДн
персональные данные
РФ
Российская Федерация
ФИО
фамилия, имя, отчество
ТК РФ
Трудовой кодекс Российской Федерации
3.1. Обработка ПДн Оператором осуществляется на основании следующих принципов:
обработка ПДн осуществляется на законной и справедливой основе;
обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
не допускается объединение баз данных, содержащих персональных данные, обработка которых осуществляется в целях, несовместных между собой;
обработке подлежат только те ПДн, которые отвечают целям их обработки;
содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
оператором принимаются необходимые меры по уничтожению или уточнению неполных или неточных ПДн
3.2. Общий порядок обработки ПДн:
3.2.1. Способы обработки ПДн в Обществе включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступа), блокирование, удаление, уничтожение ПДн.
3.2.2. Обработка ПДн может производиться Оператором с использованием средств автоматизации или без использования таких средств.
3.2.3. Обработка ПДн осуществляется до момента достижения целей обработки ПДн, либо до отзыва субъектом ПДн согласия на обработку ПДн, либо до истечения сроков обработки ПДн, в том числе хранения, установленных законодательством, в зависимости от того, какое событие наступит раньше.
3.2.4. Приказом Генерального директора или уполномоченным работником Оператора назначается лицо, ответственное за организацию обработки ПДн.
3.2.5. Работники Оператора допускаются к обработке ПДн в объёме, определяемом нормативными документами Оператора.
3.2.6. При определении объема и содержания, обрабатываемых ПДн Оператор руководствуется Конституцией РФ, ТК РФ, Гражданским кодексом РФ, Законом № 152-ФЗ и другими нормативными актами. Объем и содержание, обрабатываемых ПДн, способы обработки ПДн, должны соответствовать целям обработки ПДн.
3.2.7. Все документы, содержащие ПДн, ПДн содержащиеся на электронных носителях, по достижении заявленных целей обработки ПДн, в случае истечения срока обработки ПДн, установленного при сборе ПДн, а также в случае отзыва согласия субъекта ПДн, должны быть уничтожены в соответствии с установленным порядком, если отсутствуют иные законные основания обработки ПДн.
3.2.8. Обработка ПДн работников работодателем возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, п. п. 2.1 - 10 ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ).
3.2.9. В случае распространения ПДн неограниченному кругу лиц (например, размещение на сайте Компании), Компания обязана получить от субъекта ПДн согласие на обработку ПДн, разрешенных для распространения.
Письменное согласие субъекта на обработку ПДн, разрешенных для распространения, оформляется отдельно от других согласий на обработку его ПДн. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона № 152-ФЗ. Требования к содержанию такого согласия устанавливаются Приказом Роскомнадзора от 24.02.2021 N 18.
3.2.10. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке ПДн работника должны соблюдать, в частности, следующие общие требования:
при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения;
защита ПДн работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами;
Работники и их представители должны быть ознакомлены под подпись с документами Компании, устанавливающими порядок обработки ПДн, а также об их правах и обязанностях в этой области;
Работники не должны отказываться от своих прав на сохранение и защиту тайны.
3.3. Оператор обрабатывает следующие ПДн субъектов:
3.3.1. Работники:
Общие ПДн:
фамилия, имя, отчество;
пол;
возраст;
дата рождения;
месяц рождения;
год рождения;
место рождения;
гражданство;
адрес регистрации;
адрес места жительства;
ИНН;
СНИЛС;
сведения об образовании, повышении квалификации, профессиональной переподготовке;
данные о наградах, поощрениях, почетных званиях;
данные документа, удостоверяющего личность (серия, номер, дата выдачи, кем выдан);
данные документа, удостоверяющего личность за пределами Российской Федерации; ;
сведения о трудовом и страховом стаже;
семейное положение;
состав семьи;
профессия, специальность;
доходы;
номер телефона;
адрес электронной почты;
данные водительского удостоверения;
сведения о воинском учете (категория запаса; воинское звание; профиль; военно-учётная специальность; категория годности к военной службе);
сведения о кадровых перемещениях;
структурное подразделение, должность;
тарифная ставка (оклад), надбавки;
разряд, класс (категория) квалификации;
данные разрешительных документов на работу;
данные о дате въезда и выезда в РФ;
отпуск (вид отпуска; период работы; количество календарных дней отпуска; дата начала и окончания);
сведения о предыдущих местах работы;
реквизиты банковской карты;
номер расчетного счета;
сведения о социальных льготах;
сведения о знании иностранного языка;
сведения о деловых и иных личных качествах, носящих оценочный характер;
табельный номер;
сведения о командировках (дата, место назначения, срок, цель; источник финансирования, задание);
сведения об отработанном рабочем времени;
данные, содержащиеся в свидетельстве о рождении усыновлении (удочерении) ребенка;
данные, содержащиеся в документе о регистрации брака;
данные, содержащиеся в документе об опеке или попечительстве над ребенком;
основание прекращения трудового договора (увольнения);
дата приема (трудоустройства) и увольнения;
номер и дата трудового договора;
место работы;
сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (категория годности, инвалидность, временная нетрудоспособность) и реквизиты подтверждающих документов; номер страхового медицинского полиса; сведения, содержащиеся в листках нетрудоспособности; справка о беременности;
номер страхового медицинского полиса;
сведения, содержащиеся в листках нетрудоспособности;
сведения о транспортном средстве (государственный регистрационный номер, марка и модель транспортного средства);
фотоизображение (не используется для установления личности).
3.3.3. Кандидаты на вакантные должности (соискатели):
сведения о текущей заработной плате и приравненных к ней доходах;
данные, изложенные в резюме, предоставляемом Оператору;
рекомендациях с предыдущих мест работы;
сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (категория годности, инвалидность, временная нетрудоспособность) и реквизиты подтверждающих документов; номер страхового медицинского полиса; сведения, содержащиеся в листках нетрудоспособности;
3.3.4. Контрагенты-физические лица:
сведения об образовании, включая научные степени и звания, о повышении квалификации, о знании иностранных языков;
сведения о трудовом стаже, опыте работы, профессиональных навыках;
сведения о членстве в научных ассоциациях или других общественных организациях;
сведения, содержащаяся в водительском удостоверении;
размер вознаграждения;
сведения о постановке на учет и снятии с учета физического лица в качестве налогоплательщика налога на профессиональный доход;
сведения о гражданско-правовом договоре;
город нахождения.
3.3.5. Родственники и члены семей работников
степень родства;
адрес регистрации,
данные документа, удостоверяющего личность (наименование, серия и номер, дата выдачи документа, наименование органа, выдавшего документ, код подразделения);
данные, содержащиеся в справке об инвалидности.
3.3.6. Представители контрагентов:
должность;
регион, город нахождения;
данные, содержащиеся в доверенности.
3.3.7. Физические лица:
фамилия, имя,
город нахождения;
страна проживания;
адрес проживания;
сфера деятельности;
сведения об образовании;
адрес электронной почты
сведения о месте жительства.
3.4.1. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3.4.2. Обработке подлежат только ПДн, которые отвечают целям их обработки.
3.4.3. Обработка Оператором ПДн осуществляется в следующих целях:
3.4.3.1. Обеспечение соблюдения законодательных и иных нормативных правовых актов РФ, локальных нормативных актов Оператора.
Категория субъектов ПДн
Работники
Категории и перечень ПДн
Общие ПДн: фамилия, имя, отчество; пол; дата рождения; месяц рождения; год рождения; место рождения; адрес регистрации; адрес места жительства; ИНН; СНИЛС; сведения об образовании, повышении квалификации, профессиональной переподготовке; данные документа, удостоверяющего личность; сведения о трудовом и страховом стаже; семейное положение; состав семьи; профессия, специальность; доходы; возраст; данные документа, удостоверяющего личность за пределами Российской Федерации; номер телефона; адрес электронной почты; данные водительского удостоверения; отношение к воинской обязанности, сведения о воинском учете; сведения о кадровых перемещениях, структурное подразделение, должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); тарифная ставка (оклад), надбавки; разряд, класс (категория) квалификации; отпуск (вид отпуска; период работы; количество календарных дней отпуска; дата начала и окончания); сведения о предыдущих местах работы; реквизиты банковской карты; номер расчетного счета; сведения о социальных льготах; сведения о знании иностранного языка; сведения о деловых и иных личных качествах, носящих оценочный характер; табельный номер; сведения о командировках (дата, место назначения, срок, цель; источник финансирования, задание); сведения об отработанном рабочем времени; данные, содержащиеся в свидетельстве о рождении усыновлении (удочерении) ребенка; данные, содержащиеся в документе о регистрации брака; данные, содержащиеся в документе об опеке или попечительстве над ребенком; сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (категория годности, инвалидность, временная нетрудоспособность) и реквизиты подтверждающих документов; номер страхового медицинского полиса; сведения, содержащиеся в листках нетрудоспособности.
Способы и сроки обработки ПДн
Смешанным способом (автоматизированным и без средств автоматизации) в сроки, установленные в п. 3.2 и п. 3.8 настоящего Положения
Способы и сроки хранения ПДн
На бумажном носителе и(или) в электронном виде в порядке и сроки, установленные п. 3.9 настоящего Положения
Способы и сроки уничтожения ПДн
При достижении целей их обработки или при наступлении иных законных оснований осуществляется в соответствии с п. 3.12 настоящего Положения
3.4.3.2. Регулирование трудовых отношений и иных непосредственно связанных с ними отношений (трудоустройство, исполнение взаимных прав и обязанностей, продвижение по службе; контроль количества и качества выполняемой работы, оформление кадровых документов, обеспечение личной безопасности работников, обеспечение оборудованием, обеспечение сохранности имущества, расторжение трудового договора и т.п.)
Работники, соискатели
Общие ПДн: фамилия, имя, отчество; пол, дата рождения; месяц рождения; год рождения; место рождения; адрес регистрации; адрес места жительства и фактического проживания; ИНН; СНИЛС; сведения об образовании, повышении квалификации, профессиональной переподготовке; данные о наградах, поощрениях, почетных званиях; данные документа, удостоверяющего личность; сведения о трудовом и страховом стаже; семейное положение; состав семьи; профессия, специальность; доходы; возраст; данные документа, удостоверяющего личность за пределами Российской Федерации; номер телефона; адрес электронной почты; данные водительского удостоверения; отношение к воинской обязанности, сведения о воинском учете; сведения о кадровых перемещениях, структурное подразделение, должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); тарифная ставка (оклад), надбавки; разряд, класс (категория) квалификации; отпуск (вид отпуска; период работы; количество календарных дней отпуска; дата начала и окончания); сведения о предыдущих местах работы; реквизиты банковской карты; номер расчетного счета; сведения о социальных льготах; сведения о знании иностранного языка; сведения о деловых и иных личных качествах, носящих оценочный характер; табельный номер; сведения о командировках (дата, место назначения, срок, цель; источник финансирования, задание); сведения об отработанном рабочем времени; данные, содержащиеся в свидетельстве о рождении усыновлении (удочерении) ребенка; данные, содержащиеся в документе о регистрации брака; данные, содержащиеся в документе об опеке или попечительстве над ребенком; сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (категория годности, инвалидность, временная нетрудоспособность) и реквизиты подтверждающих документов; номер страхового медицинского полиса; сведения, содержащиеся в листках нетрудоспособности.
3.4.3.3. Рассмотрение кандидатуры для трудоустройства на вакантные должности Оператора
Соискатели
Общие ПДн: фамилия, имя, отчество; место рождения; дата рождения; месяц рождения; год рождения; возраст; гражданство; пол; сведения об образовании, включая научные степени и звания, о повышении квалификации, о знании иностранных языков; сведения о трудовом стаже, опыте работы, профессиональных навыках; сведения о членстве в научных ассоциациях или других общественных организациях; сведения о текущей заработной плате и приравненных к ней доходах; данные, изложенные в резюме, предоставляемом Оператору; данные, изложенные в рекомендациях с предыдущих мест работы; данные о наградах, поощрениях, почетных званиях; адрес электронной почты; номер телефона; сведения о деловых и иных личных качествах, носящих оценочный характер; фотоизображение (не используется для установления личности).
Смешанным способом (автоматизированным и без средств автоматизации) в сроки, установленные в п. 3.2 и п. 3.8. настоящего Положения
3.4.3.4. Оформление добровольного медицинского страхования, страхования от несчастных случаев и других видов страхования.
Работники, родственники и члены семьи работников
Общие ПДн: фамилия, имя, отчество; дата рождения; месяц рождения; год рождения; возраст; адрес электронной почты; номер телефона; данные документа, удостоверяющего личность; адрес места жительства; пол, СНИЛС, должность, место работы.
3.4.3.5. Заключение, исполнение и расторжение гражданско-правовых договоров.
Контрагенты-физические лица
Общие ПДн: фамилия, имя, отчество; пол, дата рождения; месяц рождения; год рождения; адрес регистрации; адрес места жительства; ИНН; СНИЛС; данные документа, удостоверяющего личность; номер телефона; адрес электронной почты; сведения об образовании, включая научные степени и звания, о повышении квалификации, о знании иностранных языков; сведения о трудовом стаже, опыте работы, профессиональных навыках; сведения о членстве в научных ассоциациях или других общественных организациях; данные, изложенные в резюме, предоставляемом Оператору; данные о наградах, поощрениях, почетных званиях; сведения о деловых и иных личных качествах, носящих оценочный характер; реквизиты банковской карты; номер расчетного счета; сведения о постановке на учет и снятии с учета физического лица в качестве налогоплательщика налога на профессиональный доход; сведения о гражданско-правовом договоре.
3.4.3.6. Исполнение обязанностей, возложенных законодательством РФ на Оператора, в том числе связанных с представлением персональных данных в налоговые органы, Фонд пенсионного и социального страхования, Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы.
Работники, контрагенты-физические лица
Общие ПДн: фамилия, имя, отчество; дата рождения; месяц рождения; год рождения; пол, адрес регистрации; адрес места жительства; ИНН; СНИЛС; данные документа, удостоверяющего личность; сведения о трудовом и страховом стаже; сведения о договоре гражданско-правового характера; семейное положение; состав семьи; профессия; тарифная ставка (оклад), надбавки; доходы; размер вознаграждения; возраст.
3.4.3.7. Оформление и использование банковской карты для получения заработной платы в рамках зарплатного проекта Оператора
Общие ПДн: фамилия, имя, отчество; пол; дата рождения; месяц рождения; год рождения; место рождения; возраст; гражданство; данные документа, удостоверяющего личность; адрес регистрации; номер телефона; адрес места жительства; семейное положение; реквизиты банковской карты; номер расчетного счета.
3.4.3.8. Расчет, начисление и перечисление заработной платы и других выплат в рамках трудовых отношений, включая материальную помощь
Общие ПДн: фамилия, имя, отчество; табельный номер; должность; структурное подразделение; ИНН; СНИЛС; дата рождения; месяц рождения; год рождения; место рождения; гражданство; сведения об образовании, повышении квалификации, профессиональной переподготовке; сведения о стаже работы; семейное положение; состав семьи; данные документа, удостоверяющего личность; адрес регистрации, жительства, почтовый адрес; отношение к воинской обязанности, сведения о воинском учете; сведения о кадровых перемещениях; специальность, профессия; тарифная ставка (оклад), надбавки; отпуск (вид отпуска; период работы; количество календарных дней отпуска; дата начала и окончания); социальные льготы (наименование льготы, номер и дата выдачи документа); данные, содержащиеся в документах об инвалидности; основание прекращения трудового договора (увольнения); дата увольнения; номер и дата трудового договора; сведения, содержащиеся в листках нетрудоспособности; данные, содержащиеся в свидетельстве о рождении/усыновлении (удочерении) ребенка; данные, содержащиеся в документе о регистрации брака; данные, содержащиеся в документе об опеке или попечительстве над ребенком; данные, содержащиеся в справке об инвалидности ребенка; данные, содержащиеся в свидетельстве о смерти; реквизиты банковской карты; номер расчетного счета.
3.4.3.9. Расчет, начисление и перечисление вознаграждений в рамках договора гражданско-правового характера
Общие ПДн: фамилия, имя, отчество; данные документа, удостоверяющего личность; дата рождения; месяц рождения; год рождения; сведения о месте жительства; сведения о месте регистрации; номер телефона; адрес электронной почты; СНИЛС; ИНН; сведения о постановке на учет и снятии с учета физического лица в качестве налогоплательщика налога на профессиональный доход; сведения о гражданско-правовом договоре; реквизиты банковской карты; номер расчетного счета.
3.4.3.10. Заведение и использование учетных записей в корпоративной электронной почте Оператора, иных электронных системах Оператора
Общие ПДн: фамилия, имя; страна проживания; место работы; должность; адрес электронной почты; фотоизображение (не используется для установления личности).
В электронном виде в порядке и сроки, установленные п. 3.9 настоящего Положения
3.4.3.11. Обеспечение пропускного режима на территорию Оператора
Работники, соискатели, контрагенты-физические лица, представители контрагентов
Общие ПДн: фамилия, имя, отчество; номер телефона; сведения о транспортном средстве (государственный регистрационный номер, марка и модель транспортного средства); данные, содержащиеся в доверенности.
3.4.3.12. Обеспечение мобильной связью за счет Оператора
Общие ПДн: фамилия, имя, отчество; данные документа, удостоверяющего личность; дата рождения; месяц рождения; год рождения; пол; адрес регистрации; адрес места жительства; номер телефона; адрес электронной почты.
3.4.3.13. Оформление необходимых документов на время служебной командировки, служебной поездки (проездных документов, найма жилого помещения, разрешительных документов на въезд в иностранное государство)
Общие ПДн: фамилия, имя, отчество; пол; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; дата рождения, месяц рождения, год рождения; номер телефона; место работы; электронная почта; номер бонусной карты.
3.4.3.14. Использование корпоративного такси
Работники, контрагенты-физические лица, представители контрагентов
Общие ПДн: фамилия, имя, отчество; номер телефона; адрес электронной почты.
3.4.3.15. Прохождение обучения
Общие ПДн: фамилия, имя, отчество; место работы; должность.
3.4.3.16. Проведение аудита финансово-хозяйственной деятельности Оператора
Контрагенты-физические лица, работники, представители контрагентов
Общие ПДн: фамилия, имя, отчество; пол, дата рождения; месяц рождения; год рождения; место рождения; адрес регистрации; адрес места жительства и фактического проживания; ИНН; СНИЛС; сведения об образовании, повышении квалификации, профессиональной переподготовке; данные документа, удостоверяющего личность; сведения о трудовом и страховом стаже; семейное положение; состав семьи; профессия, специальность; сведения о начисленной заработной плате; возраст; данные документа, удостоверяющего личность за пределами Российской Федерации; номер телефона; адрес электронной почты; отношение к воинской обязанности, сведения о воинском учете; сведения о кадровых перемещениях, структурное подразделение, должность; тарифная ставка (оклад), надбавки; размер вознаграждения, разряд, класс (категория) квалификации; данные разрешительных документов на работу; данные о дате въезда и выезда в РФ; отпуск (вид отпуска; период работы; количество календарных дней отпуска; дата начала и окончания); сведения о предыдущих местах работы; реквизиты банковской карты; номер расчетного счета; сведения о социальных льготах; сведения о знании иностранного языка; табельный номер; сведения о командировках (дата, место назначения, срок, цель; источник финансирования, задание); место работы; сведения об отработанном рабочем времени; данные, содержащиеся в свидетельстве о рождении усыновлении (удочерении) ребенка; данные, содержащиеся в документе о регистрации брака; данные, содержащиеся в документе об опеке или попечительстве над ребенком; сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (категория годности, инвалидность, временная нетрудоспособность) и реквизиты подтверждающих документов; номер страхового медицинского полиса; сведения, содержащиеся в листках нетрудоспособности, сведения, содержащиеся в доверенности.
3.4.3.17. Включение кандидатуры соискателя в кадровый резерв Оператора
3.4.3.18. Информирование работников Оператора о профессиональных событиях с участием Работника, награждении и дне рождения Работника
Общие ПДн: фамилия, имя, отчество; дата рождения; месяц рождения; год рождения; должность; структурное подразделение; номер телефона; адрес электронной почты; фотоизображение (не используется для установления личности); стаж работы; опыт работы; сведения об образовании, включая научные степени и звания, о повышении квалификации.
3.4.3.19. Заключение (в том числе проверка полномочий на подписание договора), изменение, исполнение взаимных прав и обязанностей (в том числе расчет, начисление, перечисление и прием оплаты, взаимодействие в ходе исполнения договора) и расторжение гражданско-правовых договоров между Оператором и третьим лицом
Работники, представители контрагентов
Общие ПДн: фамилия, имя, отчество; должность, сведения, содержащиеся в доверенности; адрес электронной почты.
Смешанным способом (автоматизированным и без средств автоматизации) в сроки, установленные в п. 3.2 и п. 3.7 настоящего Положения
На бумажном носителе и(или) в электронном виде в порядке и сроки, установленные п. 3.8 настоящего Положения
При достижении целей их обработки или при наступлении иных законных оснований осуществляется в соответствии с п. 3.11 настоящего Положения
3.4.3.20. Подготовка визитных карточек
Общие ПДн: фамилия, имя, отчество; должность; место и адрес работы; номер телефона; адрес электронной почты.
3.4.3.21. Деловая и информационная коммуникация, в том числе проведение опросов и тестирования
Общие ПДн: фамилия, имя; должность; место работы; номер телефона; адрес электронной почты.
На бумажном носителе и (или) в электронном виде в порядке и сроки, установленные п. 3.9 настоящего Положения
3.4.3.22. Организация участия в мероприятиях Оператора, в том числе найм жилого помещения на период проведения мероприятий и бронирование авиа и железнодорожных билетов
Работники; контрагенты-физические лица
Общие ПДн: фамилия, имя, отчество; должность; место работы, номер телефона; адрес электронной почты.
Смешанным способом (автоматизированным и без средств автоматизации) в сроки, установленные в п. 3.2 настоящего Положения
На бумажном носителе и (или) в электронном виде в порядке и сроки, установленные п. 3.9 настоящего Положения;
При достижении целей их обработки или при наступлении иных законных оснований осуществляется в соответствии с п. 3.12 настоящего Положения.
3.4.3.23. Предоставление и эксплуатация корпоративного транспорта, предоставляемого Оператором
Категория субъектов
Общие ПДн: фамилия, имя, отчество; данные документа, удостоверяющего личность; дата рождения; месяц рождения; год рождения; адрес регистрации; данные водительского удостоверения; номер телефона; должность; структурное подразделение.
При достижении целей их обработки или при наступлении иных законных оснований осуществляется в соответствии с п. 2.12 настоящего Положения
3.4.3.24. Информирование о продукции компании, в том числе рассылка рекламно-информационных писем
Физические лица, представители контрагента, контрагенты-физические лица
Общие ПДн: имя, фамилия, город нахождения, сфера деятельности, адрес электронной почты.
3.4.3.25. Обработка обращений, полученных на электронную почту
Физические лица
Общие ПДн: имя, фамилия, отчество, номер телефона, адрес электронной почты.
3.4.3.26. Изготовление наград и подарков для работников
Общие ПДн: фамилия, имя; место работы; сведения о продолжительности трудового стажа у Оператора, адрес места жительства.
3.4.3.27. Предоставление подарков детям работников
Общие ПДн: фамилия, имя; место работы; состав семьи, возраст детей
3.4.3.28. Страхование и урегулирование убытков, возникающих при эксплуатации корпоративного транспорта, предоставленного Оператором
Общие ПДн: фамилия, имя, отчество; место рождения; дата рождения; месяц рождения; год рождения; возраст; гражданство; данные документа, удостоверяющего личность; адрес электронной почты; номер телефона; адрес регистрации; данные водительского удостоверения.
3.4.3.29. Получение товарно-материальных ценностей у контрагентов Оператора
Общие ПДн: фамилия, имя, отчество; место рождения; дата рождения; месяц рождения; год рождения; данные, содержащиеся в доверенности; данные документа, удостоверяющего личность; адрес регистрации; данные водительского удостоверения; номер телефона.
3.4.3.30. Ведение учета, использование и хранение доверенностей
Общие ПДн: фамилия, имя, отчество; данные, содержащиеся в доверенности; данные документа, удостоверяющего личность; адрес регистрации; номер телефона.
На бумажном носителе и(или) в электронном виде в порядке и сроки, установленные п. 3.9 настоящего Положения;
3.4.3.31. Получение товарно-материальных ценностей на складе Оператора
Общие ПДн: фамилия, имя, отчество; место рождения; дата рождения; месяц рождения; год рождения; данные, содержащиеся в доверенности; данные документа, удостоверяющего личность; адрес регистрации; номер телефона.
3.4.3.32. Оформление услуг курьерской службы, обмен почтовыми отправлениями
Работники, контрагенты-физические лица, физические лица
Общие ПДн: фамилия, имя, отчество; адрес проживания; номер телефона.
3.4.3.33. Осуществление мероприятий по охране труда
Общие ПДн: фамилия, имя, отчество; дата рождения; месяц рождения; год рождения; город проживания; место работы; должность; структурное подразделение; условия трудового договора: о трудовой функции, характере работы, условиях выполнения работы дистанционно или на стационарном рабочем месте; адрес электронной почты.
3.4.3.34. Ведение реестра для учета работников Оператора, в том числе их стажа работы у Оператора
Общие ПДн: фамилия, имя, отчество; дата рождения; месяц рождения; год рождения; пол; город проживания; место работы; должность; структурное подразделение; дата приема на работу к Оператору; адрес электронной почты; дата увольнения; статус (работает/ уволен /в отпуске по уходу за ребенком или по беременности и родам).
3.4.3.35. Исполнение Оператором обязанностей по ведению воинского учета и кадровой документации работников
Родственники работников, работники
Общие ПДн: фамилия, имя, отчество, год рождения, степень родства, дата рождения; место рождения; сведения об образовании; семейное положение; состав семьи; сведения о знании иностранных языков; данные документа, удостоверяющего личность; данные водительского удостоверения; адрес регистрации; адрес места жительства; номер телефона; отношение к воинской обязанности, сведения о воинском учете; сведения о кадровых перемещениях, структурное подразделение, должность.
3.4.3.36. Информирование работников о проведенных мероприятиях
Общие ПДн: фото и видеоизображение (не используется для установления личности).
3.4.3.37. Хранение истории действий пользователей в информационной системе Оператора для контроля за информационной безопасностью
Общие ПДн: фамилия, имя; адрес электронной почты.
Автоматизированным способом в сроки, установленные в п. 3.2 и п. 3.8 настоящего Положения
3.4.3.38. Заведение и использование личного кабинета на веб-ресурсах Оператора
Физическим лица
Общие ПДн: фамилия, имя, отчество; страна проживания; место работы; должность; адрес электронной почты.
3.5.2. Источником информации обо всех ПДн является непосредственно субъект ПДн. Если ПДн получены не от субъекта ПДн, то оператор обязан предоставить субъекту ПДн следующую информацию:
наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
цель обработки ПДн и ее правовое основание;
перечень ПДн;
предполагаемые пользователи ПДн;
установленные Законом № 152-ФЗ права субъекта ПДн;
источник получения ПДн.
3.5.3. Оператор освобождается от обязанности предоставить субъекту ПДн указанные выше сведения в случаях, если:
субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;
ПДн получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
предоставление субъекту ПДн указанных выше сведений нарушает права и законные интересы третьих лиц.
3.5.4. Если ПДн работника можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении Оператор должен сообщить работнику о:
целях обработки ПДн;
предполагаемых источниках и способах получения ПДн;
характере подлежащих получению ПДн;
последствиях отказа работника дать согласие на их получение.
3.5.5. Работодатель не вправе запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности/невозможности выполнения Работником трудовой функции.
3.5.6. В Обществе не осуществляется обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также ПДн о судимости субъектов ПДн.
В Обществе не осуществляется обработка биометрических ПДн.
3.5.7. Если предоставление ПДн является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
3.5.8. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона № 152 ФЗ.
3.5.9. Оператор не имеет права получать и обрабатывать ПДн субъекта ПДн о его политических, религиозных, философских и иных убеждениях, а также частной жизни, без его согласия в письменной форме. Оператор не имеет права получать и обрабатывать ПДн работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
3.5.10. Запрещается принятие решений на основании исключительно автоматизированной обработки ПДн в случае, если такое решение порождает юридические последствия в отношении субъекта ПДн.
3.6.1. Общество осуществляет запись, систематизацию и накопление полученных ПДн в базах данных и иных электронных хранилищах данных с использованием автоматизированных систем и программного обеспечения, а также на бумажных носителях.
3.6.2. Ввод ПДн в ИСПДн осуществляется работником Общества, имеющим доступ к работе с ПДн в соответствии с должностными обязанностями, или же субъектом ПДн самостоятельно при заполнении соответствующих регистрационных форм на веб-сайтах Общества.
3.6.3. Работники, осуществляющие ввод и обработку ПДн, несут ответственность за точность, достаточность, а в необходимых случаях и актуальность ПДн.
3.6.4. При работе с программными средствами ИСПДн запрещается демонстрация экранных форм, содержащих ПДн, лицам, не имеющим права доступа к соответствующим данным.
3.7.1. Лица, доступ которых к ПДн, обрабатываемым в информационных системах Оператора, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании приказа, утвержденного Генеральным директором или уполномоченным работником Оператора, и только после подписания письменного согласия о соблюдении конфиденциальности ПДн и соблюдении правил их обработки (Приложение № 2).
3.7.2. Работники, имеющие доступ к ПДн, имеют право получать и обрабатывать только те ПДн, которые необходимы им для выполнения конкретных трудовых функций.
3.7.3. В случае если на основании договоров на оказание услуг, заключенных с юридическими и физическими лицами, Оператору необходимо предоставить таким лицам доступ к ПДн, обрабатываемым Оператором, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации или включения в договоры пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту ПДн.
3.7.4. Государственным органам, осуществляющим функции контроля (надзора), предоставляют права доступа к ПДн, обрабатываемым Оператором, только в сфере их компетенции и в объеме, предусмотренном действующим законодательством РФ.
3.7.5. Субъект ПДн, данные о котором обрабатываются Оператором, имеет право на свободный доступ к своим ПДн, получение копий своих ПДн (за исключением случаев, предусмотренных федеральным законом) на основании его письменного запроса.
3.7.6. Оператор обязан в порядке, предусмотренном Законом №152, сообщить субъекту ПДн или его законному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя, либо в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его законного представителя.
3.8.1. Работники Оператора, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.
3.8.2. ПДн при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн (далее - материальные носители), в специальных разделах или на полях форм (бланков).
3.8.3. При обработке ПДн без использования средств автоматизации не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн для каждой категории ПДн должен использоваться отдельный материальный носитель.
3.8.4. При использовании типовых форм документов характер информации, в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкции по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки ПДн;
типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
3.8.5. При ведении журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн на территорию Оператора, или в иных аналогичных целях, должны соблюдаться следующие условия:
копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
ПДн каждого субъекта ПДн могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта ПДн на территорию Оператора.
3.8.6. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, предпринимаются меры по обеспечению раздельной обработки ПДн, в частности:
при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;
при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
3.8.7. Данные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе ПДн и информации, не являющейся персональными данными.
3.8.8. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе. В случае если это не допускается техническими особенностями материального носителя, уточнение производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
3.8.9. Обработка ПДн, осуществляемая без использования средств автоматизации, должна производиться таким образом, чтобы можно было определить места хранения ПДн (материальных носителей).
3.9.1. В Обществе обеспечивается раздельное хранение ПДн при разных целях обработки и не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо несовместимы.
3.9.2. В Обществе обеспечивается раздельное хранение ПДн, собранных с разными целями обработки.
3.9.3. Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
3.9.4. Бумажные носители ПДн хранятся в шкафах или ящиках, запираемых на ключ. Главным условием хранения бумажных носителей ПДн является невозможность получения доступа к таким документам со стороны лиц, которым такой доступ не предоставлен.
3.9.5. Запрещается совместное хранение носителей ПДн с другими документами, не содержащими ПДн, кроме случаев, когда носители ПДн являются приложениями к другим документам или наоборот.
3.9.6. Хранение ПДн на материальных носителях организовано в Компании в соответствии с п. 13 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3.9.7. Во время работы на столе должны находиться только те носители, непосредственно с которыми ведется работа.
3.9.8. Носители ПДн должны быть убраны в шкаф или ящик, запираемые на ключ, в следующих случаях:
когда с носителем ПДн не ведется работа;
когда работник покидает рабочее место;
по окончании рабочего дня.
3.9.9. Ответственность за соблюдение норм, описанных в данном разделе, возлагается на всех работников, допущенных к обработке ПДн, а контроль их выполнения возлагается на соответствующих руководителей структурных подразделений.
3.9.10. Работники Общества, имеющие доступ к ПДн субъектов ПДн в связи с исполнением трудовых обязанностей, обязаны обеспечивать хранение информации, содержащей ПДн субъектов ПДн, исключающее неправомерный или случайный доступ к ним.
3.9.11. В случае необходимости работник обязан передать документы и иные носители, содержащие ПДн субъектов ПДн, работнику, на которого организационно-распорядительным актом (приказом, распоряжением) или должностной инструкцией возложено исполнение его трудовых обязанностей.
3.9.12. В случае увольнении работника, имеющего доступ к ПДн субъектов ПДн, документы и иные носители, содержащие ПДн субъектов ПДн, передаются другому работнику, имеющему доступ к ПДн субъектов ПДн, по указанию руководителя структурного подразделения.
3.9.13. Общество может заключать договоры с третьими сторонами на оказание услуг по хранению материальных носителей ПДн. При этом Общество и третья сторона соблюдают все правила для обеспечения конфиденциальности передаваемых на хранение данных.
3.9.14. ПДн работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети, компьютерных программ и облачных хранилищ, включая, но не ограничиваясь: программы для кадрового учета и заработной платы, файловый архив, электронная почта и т.д.).
3.9.15. ПДн могут храниться в электронных папках и файлах в персональных компьютерах работников Компании, имеющих доступ к ПДн работников и определенных в соответствующем приказе.
3.9.16. Доступ к персональному компьютеру имеет только тот работник, которому выдан данный персональный компьютер для выполнения обязанностей в рамках трудовой функции. Каждый компьютер защищен паролем, и оснащен сертифицированной антивирусной защитой.
3.9.17. Обработка ПДн в информационных системах ПДн (в том числе на персональных компьютерах, на ноутбуках, серверах) осуществляется в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
3.9.18. Использование и хранение биометрических ПДн вне информационных систем ПДн могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
3.9.19. Сроки хранения ПДн работников определяются Оператором на основании трудового законодательства РФ.
3.10.1. Запрещается передавать ПДн субъекта третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных законодательством РФ.
3.10.2. В случае передачи ПДн, содержащихся на бумажных носителях, третьим лицам, Оператор принимает меры по обеспечению конфиденциальности таких данных. Документы, содержащие ПДн вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством РФ предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для почтовых отправлений. Конверты могут быть переданы федеральной почтовой связью, курьерскими службами сторонних организаций, подтвердившие выполнение требований Приказа Минкомсвязи России «Об утверждении Правил оказания услуг почтовой связи» № 234 от 31.07.2014 либо, внутренними курьерскими службами, непосредственно адресату.
3.10.3. Допускается передача ПДн субъекта без получения его согласия между структурными подразделениями внутри Оператора в объеме, необходимом для выполнения подразделениями своих функций. Лица, получающие ПДн, должны быть предупреждены, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
3.10.4. Лица, получающие ПДн, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов ПДн в порядке, установленном федеральным законодательством РФ).
3.10.5. При передаче ПДн работника работодатель должен соблюдать следующие требования:
Не сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных ТК РФ или иными федеральными законами.
Не сообщать ПДн работника в коммерческих целях без его письменного согласия. Обработка ПДн работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
Предупреждать лиц, получивших ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн работника, обязаны соблюдать режим служебной тайны (конфиденциальности). Данное правило не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами.
Обрабатывать ПДн с передачей полученной информации по сети по защищенным каналам связи, не допускать просмотр экрана третьими лицами, не оставлять включенным компьютер при его оставлении, при выходе из системы не сохранять пароль.
Установленные работником запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПДн, разрешенных для распространения, не действуют в случаях обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
Трансграничная передача ПДн осуществляется в соответствии с Законом № 152-ФЗ, т.е. применяются все положения, регулирующие обработку ПДн на территории РФ.
3.10.6. Передача Оператором ПДн любого субъекта третьим лицам осуществляется при соблюдении следующих условий:
передача ПДн, в том числе поручение Оператором обработки ПДн третьим лицам, осуществляется с согласия субъекта ПДн или без такового согласия при наличии правовых оснований, предусмотренных федеральным законодательством, в частности ст. 6 Закона № 152-ФЗ;
передача ПДн осуществляется только в объеме, необходимом для достижения заявленных целей обработки ПДн;
существенным условием соглашений (поручений Оператора) с третьими сторонами, в рамках исполнения которых третьи лица осуществляют обработку ПДн, является обязанность соблюдения сторонами мер обеспечения безопасности ПДн при их обработке. Кроме того, в соглашениях (поручении Оператора) в обязательном порядке определяется порядок передачи ПДн;
в том случае, если Компания поручает обработку ПДн третьему лицу на основании договора, в условиях соглашения на обработку ПДн, которое является приложениям к такому договору (в поручении Оператора), определяется:
перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку ПДн;
цели их обработки;
обязанность третьего лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
обязанность третьего лица соблюдать требования ч. 5 ст. 18 и 18.1 Закона № 152-ФЗ;
обязанность третьего лица в течение срока действия поручения оператора, в том числе до обработки ПДн по запросу Оператора предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии ч. 5 ст. 18, ст.18.1, ст. 19 Закона № 152-ФЗ;
требования к защите обрабатываемых ПДн в соответствии со ст. 19 Закона № 152-ФЗ;
требование об уведомлении Оператора о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн.
3.11. Общество блокирует обрабатываемые ПДн при выявлении их недостоверности или неправомерных действий в отношении субъекта ПДн по требованию субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов ПДн или в результате внутренних контрольных мероприятий.
3.12. Порядок уничтожения ПДн:
3.12.1. Уничтожение документов, содержащих ПДн, производится:
в случае отзыва согласия субъекта ПДн, если отсутствуют иные законные основания обработки ПДн – в течение 30 календарных дней;
по достижении целей их обработки согласно номенклатуре дел и документов, если иное не предусмотрено законодательством РФ – в течение 30 календарных дней;
по достижении окончания срока хранения ПДн, оговоренного в соответствующем соглашении заинтересованных сторон – в течение 30 календарных дней;
при предоставлении субъектом ПДн сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 рабочих дней;
если невозможно обеспечить правомерную обработку ПДн - в течение 10 рабочих дней.
3.12.2. В случае отсутствия возможности уничтожения ПДн в установленные сроки Оператор осуществляет блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
3.12.3. Уничтожение ПДн должно производиться способом, исключающим возможность восстановления этих ПДн на носителях.
3.12.4. В случае если обработка ПДн осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн.
3.12.5. В случае если обработка ПДн осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн (далее - выгрузка из журнала).
3.12.6. В случае если обработка ПДн осуществляется одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн и выгрузка из журнала.
3.12.7. Акт об уничтожении ПДн и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПДн.
3.12.8. Накапливаемые для уничтожения документы, копии документов, черновики, содержащие ПДн, должны храниться отдельно.
3.13. Особенности обработки ПДн работников:
3.13.1. В личное дело работника вносятся его ПДн и иные сведения, связанные с поступлением на работу, ее прохождением, увольнением и необходимые для обеспечения деятельности Оператора.
Личные дела работников находятся в офисе в г. Москве в специально отведенном шкафу, запирающимся на ключ, обеспечивающем защиту от несанкционированного доступа.
В обязанности департамента по работе с персоналом Оператора, осуществляющего ведение личных дел работников, входит:
приобщение документов к папкам работников;
обеспечение сохранности папок работников;
обеспечение конфиденциальности сведений в соответствии с Законом №152, другими федеральными законами РФ, иными нормативными правовыми актами РФ, а также в соответствии с настоящим Положением.
Личное дело ведется на протяжении всей трудовой деятельности работника Оператора.
Сроки хранения ПДн работников определяются Оператором на основании трудового законодательства РФ.
4.1. Работники, допущенные к обработке ПДн, обязаны:
знать и выполнять требования настоящего Положения;
осуществлять обработку ПДн в целях, определенных данным Положением;
вести обработку только тех ПДн, к которым предоставлен доступ для выполнения трудовых обязанностей;
хранить в тайне известные им сведения о ПДн, информировать своего непосредственного руководителя о фактах нарушения порядка обработки ПДн и о попытках несанкционированного доступа к ним;
предупреждать лиц, получающих ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
выполнять требования по защите полученных ПДн;
соблюдать правила пользования документами, содержащими ПДн, порядок их обработки и защиты;
предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки ПДн.
5.1. Принципы обеспечения безопасности ПДн:
5.1.1. Защита ПДн субъектов от неправомерного использования или утраты обеспечивается Оператором в установленном действующим законодательством РФ и локальными актами Оператора порядке, выполнением комплекса организационных и технических мер, обеспечивающих их безопасность.
5.1.2. Меры по обеспечению безопасности ПДн при их обработке распространяются как на обработку ПДн с использованием средств автоматизации, так и без их использования.
5.1.3. Для осуществления мероприятий по обеспечению безопасности ПДн приказом Генерального директора или уполномоченным работником Оператора назначаются ответственные лица за обеспечение безопасности ПДн.
5.1.4. Организацию защиты ПДн в подразделениях обеспечивают руководители подразделений.
5.1.5. Получение и обработка уполномоченными лицами ПДн производится после предоставления субъектом ПДн согласия в случаях, если это требуется законодательством РФ.
5.2. Меры по обеспечению безопасности ПДн:
5.2.1. Хранение ПДн в структурных подразделениях Оператора, работники которых имеют допуск к ПДн, осуществляется в порядке, исключающем к ним доступ третьих лиц. Хранение ПДн должно происходить в порядке, исключающем их утрату или их неправомерное использование.
5.2.2. Помещения, в которых ведется обработка ПДн, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.
5.2.3. По окончании рабочего времени помещения, предназначенные для обработки ПДн, должны быть закрыты на ключ, бесконтрольный доступ в такие помещения должен быть исключен.
5.2.4. Не допускается обсуждение, предоставление, передача ПДн по телефону или факсу.
5.2.5. Оператором осуществляется учет машинных носителей ПДн.
5.2.6. Организация защиты ПДн, обрабатываемых в информационных системах ПДн, осуществляется в рамках действующей системы защиты информации.
5.2.7. Доступ к информационным системам ПДн защищается системой паролей. Доступ с мобильных устройств к ресурсам Оператора запрещен.
5.2.8. При взаимодействии с информационными системами сторонних организаций (внешние информационные системы) правила обеспечения защиты ПДн определяются соответствующими организациями (инициаторами передачи). Иная передача ПДн по каналам связи, имеющим выход за пределы КЗ, не осуществляется.
5.3. Порядок осуществления взаимодействия, сопровождающего предоставление ПДн:
5.3.1. В целях обеспечения безопасности ПДн при взаимоотношении Оператора с третьими лицами должны выполняться следующие меры:
должно быть подписано соглашение о неразглашении ПДн;
должен проводиться мониторинг действий третьих лиц в информационных системах ПДн Оператора;
необходимо предусмотреть в договорах с третьими лицами право Оператора на проведение аудита обеспечения защиты ПДн, передаваемых Оператором третьему лицу.
5.3.2. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора. Поручение Оператора должно содержать:
обязанность другого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
обязанность другого лица соблюдать требования ч. 5 ст. 18 и 18.1 Закона № 152-ФЗ;
обязанность другого лица в течение срока действия поручения оператора, в том числе до обработки ПДн по запросу Оператора предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии ч. 5 ст. 18, ст.18.1, ст. 19 Закона № 152-ФЗ;
требования к защите обрабатываемых ПДн в соответствии со ст. 19 Закона № 152-ФЗ
5.3.3. Любое соединение с внешней информационной системой должно быть согласовано с Ответственным за обеспечение безопасности ПДн. Любой доступ должен быть ограничен и протестирован на возможные уязвимости. Необходимо применять принцип многоуровневой защиты (несколько уровней брандмауэров, отключение протоколов и т.д.). Внешний доступ должен также отвечать следующим характеристикам:
необходимо подписание владельцем внешней информационной системы соглашения о принятии на себя обязательств по обеспечению безопасности ПДн в своей части сети, соединенной с сетью Оператора;
должен быть обеспечен контроль доступа и аутентификация.
6.1. В целях обеспечения защиты своих ПДн субъект имеет право:
6.1.1. Получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной), в том числе:
подтверждение факта обработки ПДн;
правовые основания обработки ПДн;
цели и применяемые способы обработки ПДн;
наименование и место нахождения Общества, сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных Закона №152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу.
информацию о способах исполнения Обществом обязанностей, установленных ст. 18.1 Закона №152-ФЗ.
6.1.2. Осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн, за исключением случаев, предусмотренных Федеральным законодательством РФ.
6.1.3. Определять своих представителей для защиты своих ПДн.
6.1.4. Требовать исключения или исправления неверных, неполных ПДн, а также данных, обработанных с нарушением Федерального закона (субъект ПДн, при отказе Оператора или уполномоченного лица исключить или исправить ПДн, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; ПДн оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения).
6.1.5. Требовать от Оператора или уполномоченного лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них изменениях или исключениях из них.
6.1.6. Обжаловать в суде любые неправомерные действия или бездействие руководителя организации или уполномоченного им лица при обработке и защите ПДн.
6.2. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с ч. 8 ст. 14 Закона №152-ФЗ.
7.1. Должностные лица, имеющие доступ к ПДн, несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность за нарушение режима защиты ПДн в соответствии с законодательством Российской Федерации.
7.2. Каждый работник Оператора, получающий для работы содержащий ПДн документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
7.3. Работники Оператора, которым ПДн стали известны в силу их служебного положения, несут ответственность за их разглашение.
7.4. Обязательства по соблюдению конфиденциальности ПДн остаются в силе и после окончания работы с ними вышеуказанных лиц.
7.5. За неисполнение или ненадлежащее исполнение работником возложенных на него обязанностей по соблюдению установленного порядка работы с персональными данными работодатель вправе применять предусмотренные ТК РФ дисциплинарные взыскания.
7.6. Ответственность за несоблюдение вышеуказанного порядка обработки ПДн несет работник, а также руководитель структурного подразделения, осуществляющего обработку ПДн.
7.7. Должностные лица, в обязанность которых входит обработка ПДн работников Оператора, обязаны обеспечить каждому работнику, при необходимости, возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законодательством РФ. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законодательством РФ, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях РФ.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной, административной, гражданско-правовой, уголовной ответственности в порядке, установленном федеральным законодательством РФ.
8.1. Повседневный контроль порядка обращения с персональными данными осуществляют руководители тех структурных подразделений Оператора, в которых обрабатываются ПДн субъектов.
8.2. Периодический контроль выполнения настоящего Положения возлагается на должностное лицо, назначенное Генеральным директором или уполномоченным работником Оператора, ответственным за организацию обработки ПДн.
Приложение № 1
к Положению об обработке
персональных данных
ЖУРНАЛ УЧЕТА ОЗНАКОМЛЕНИЯ ДОЛЖНОСТНЫХ ЛИЦ С ПРАВИЛАМИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «СЕНТИСС РУС»
№ п/п
Наименование документа/обучения
Дата
Должность и ФИО работника, ознакомившегося с документом/ прошедшего обучение
Подпись
1
2
3
4
5
Приложение № 2
Обязательство о неразглашении персональных данных
Я, _______________________, паспорт серии ________, номер _______________, выданный___________________"___"___________ ____ года, понимаю, что получаю доступ к персональным данным работников ООО «Сентисс Рус».
Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься обработкой персональным данным.
Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональным данным, как прямой, так и косвенный.
В связи с этим, даю обязательство, при обработке персональным данным соблюдать все описанные в «Положении об обработке персональным данным ООО «Сентисс Рус» требования.
Я подтверждаю, что не имею права разглашать сведения, составляющие персональным данным.
Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональным данным или их утраты я могу быть привлечен(а) к дисциплинарной и материальной ответственности в порядке, установленном в Трудовом кодексе Российской Федерации и иными федеральными законами Российской Федерации, а также привлечен(а) к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральным законодательством Российской Федерации.
С Положением о порядке обработки персональных данных ООО «Сентисс Рус», а также положениями законодательства Российской Федерации о персональным данным ознакомлен(а).
«___» ______ 20__ г.
/
(подпись)
(расшифровка подписи)