1.1. Назначение и область действия документа
1.1.1. В настоящем Положении об обработке и защите персональных данных (далее – «Положение») установлены требования по организации и непосредственному функционированию процессов обработки персональных данных (далее – «ПДн») в ООО «Дальпромрыба» (далее – «Компания») в соответствии с требованиями нормативных правовых актов Российской Федерации (далее – «РФ») в области обработки и защиты ПДн.
1.1.2. Требования настоящего Положения распространяются на структурные подразделения Компании и отдельных должностных лиц, принимающих участие в процессах обработки ПДн в Компании.
1.1.3. Требования настоящего Положения распространяются на все процессы обработки ПДн в Компании, независимо от формы предоставления ПДн.
1.2. Термины и определения
«Автоматизированная обработка ПДн» - обработка ПДн с помощью средств вычислительной техники;
«Блокирование ПДн» - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
«Веб-сервисы» - интернет-сайты Компании;
«Информационная система ПДн» («ИСПДн») данных - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
«Контрагент» - юридическое лицо и/или индивидуальный предприниматель, вступившее в договорные отношения с Компанией;
«Конфиденциальность ПДн» – обязательное для соблюдения лицом, получившим доступ к ПДн, требование не допускать их распространения и передачи третьим лицам без согласия субъекта ПДн или наличия иного законного основания.
«Оператор» - государственный орган, муниципальный орган, юридическое (в том числе, Компания) или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
«Обработка ПДн» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
«Персональные данные» (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
«Пользователь веб-сервисов» - посетитель интернет-сайтов Компании на соответствующих ресурсах;
«Потребитель» - лицо, обратившееся в Компанию с целью получения информации о товарах Компании, либо с требованием о выполнении обязательств, предусмотренных законодательством о защите прав потребителей;
«Предоставление ПДн» - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
«Представители/работники Контрагентов» - физические лица, являющиеся представителями юридического лица и/или индивидуального предпринимателя и/или физического лица, вступившего в договорные отношения с Компанией. К указанной категории также относятся представители/работники потенциальных Контрагентов Компании.
«Распространение ПДн» - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
«Товары» - товары, маркированные товарными знаками МАГУРО, КАПИТАН ВКУСОВ, РЫБАРЬ (далее – «Товарные знаки Компании»), реализуемые Компанией Контрагентам;
«Трансграничная передача ПДн» - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
«Уничтожение ПДн» - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
«Участники мероприятий» - участники рекламных и иных мероприятий, направленных на продвижение товаров, маркированных товарными знаками Компании, организуемых и (или) проводимых ООО «Дальпромрыба».
2.1 Положение определяет цели, содержание и порядок обработки ПДн, меры, направленные на защиту ПДн, а также процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области ПДн в Компании.
2.2 Настоящее Положение определяет политику Компании как оператора, осуществляющего обработку ПДн, в отношении обработки и защиты ПДн.
2.3 Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации (далее – «Трудовой кодекс Российской Федерации»), Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2.4 Обработка ПДн в Компании осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством РФ в области ПДн.
2.5 При работе с ПДн во всех случаях, не урегулированных внутренними нормативными документами Компании, необходимо руководствоваться действующим законодательством РФ.
2.6 Настоящее Положение должно быть доведено до сведения всех работников Компании под роспись. Подпись работника на листе ознакомления означает его согласие со всеми требованиями, указанными в настоящем Положении.
3.1 Обработка ПДн в Компании должна осуществляться в соответствии со следующими принципами:
3.1.1 Обработка ПДн должна осуществляться на законной и справедливой основе.
3.1.2 Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
3.1.3 Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
3.1.4 Обработке подлежат только ПДн, которые отвечают целям их обработки.
3.1.5 Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
3.1.6 При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Необходимо принимать меры по удалению или уточнению неполных или неточных данных.
3.1.7 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.1.8 Все работники должны быть ознакомлены под подпись с документами Компании, устанавливающими порядок обработки их ПДн, а также их правами и обязанностями в этой области, в соответствии с действующими нормативными документами.
3.2 В целях осуществления внутреннего контроля (аудита) соответствия обработки персональных данных в Компании Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам ООО «Дальпромрыба» приказом Директора предприятия на весь срок обработки ПДн Компанией назначается Комиссия по осуществлению внутреннего контроля (аудита). В обязанности Комиссии входит проведение работ по обеспечению безопасности и организации обработки ПДн в Компании. В целях осуществления указанного внутреннего контроля организуется проведение периодических проверок условий обработки ПДн, но не реже одного раза в три года. Проверки осуществляются Комиссией, назначаемой приказом Директора предприятия.
3.3 В Компании должен проводиться регулярный анализ соответствия процессов обработки ПДн указанным выше принципам. Данный анализ проводится в случае:
3.3.1 создания новых или внесения изменений в существующие процессы обработки ПДн;
3.3.2 создания новых или внесения изменений в существующие ИСПДн;
3.3.3 изменения нормативной базы, затрагивающей принципы и(или) процессы обработки ПДн в Компании;
3.3.4 в связи с осуществлением внутреннего контроля (аудита) соответствия обработки персональных данных в Компании Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Компании в отношении обработки персональных данных, локальным актам ООО «Дальпромрыба».
3.4 В Компании не допускается обработка ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъектов ПДн. Обработка ПДн, касающихся состояния здоровья, осуществляется в случае получения согласия от субъекта ПДн на обработку указанных данных, либо в иных случаях, прямо предусмотренных действующим законодательством Российской Федерации.
3.5 В Компании не осуществляется обработка данных о наличии/отсутствии у субъекта ПДн судимости.
3.6 В Компании не осуществляется обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3.7 Сотрудники Компании не имеют право отвечать на вопросы, связанные с передачей или разглашением ПДн по телефону в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
С учетом фактически осуществляемой Компанией деятельности, а также деятельности, которая предусмотрена Уставом Компании, и конкретных бизнес-процессов Компании, в Компании выделяются следующие категории субъектов, ПДн которых обрабатываются Компанией:
4.1 Работники Компании;
4.2 Лица, претендующие на замещение вакантных должностей в Компании;
4.3 Бывшие работники Компании;
4.4 Родственники работников Компании;
4.5 Физические лица, с которыми у Компании заключены договоры гражданско-правового характера (оказание услуг Компании, договоры поручительства);
4.6 Лица, направляемые в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала);
4.7 Пользователи веб-сервисов;
4.8 Потребители;
4.9 Представители/работники Контрагентов;
4.10 Участники мероприятий.
5.1 Цели обработки ПДн
ПДн работников Компании (лиц, состоящих с Компанией в трудовых отношениях), обрабатываются в целях:
обеспечения соблюдения законов и иных нормативных правовых актов;
содействия работникам в трудоустройстве, получении образования и продвижении по службе;
обеспечения личной безопасности работников;
контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.2 Правовые основания обработки ПДн работников Компании:
Трудовой кодекс Российской Федерации;
Трудовой договор;
Налоговый кодекс Российской Федерации;
Федеральный закон от 21.11.1996 N 129-ФЗ «О бухгалтерском учете»;
Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации»;
Федеральный закон №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
Постановление Минобразования Российской Федерации от 13.01.2003 № 1/29 «Об утверждении Порядка обучения по охране труда и проверки знаний требований охраны труда работников организаций»;
Федеральный закон №126-ФЗ «О связи»;
Согласие работника.
5.3 Категории обрабатываемых ПДн
В целях, указанных в пункте 5.1 настоящего Положения, обрабатываются следующие категории ПДн работников:
фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения);
число, месяц, год рождения;
место рождения;
пол;
информация о гражданстве (в том числе прежние гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса добровольного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
фотография;
сведения о прежних местах работы;
сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы, размера денежного содержания (если применимо);
информация о классном чине государственной гражданской службы Российской Федерации (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы) (если применимо);
сведения о пребывании за границей; серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего его, дата выдачи;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания, других видах отпусков;
сведения о доходах;
номер расчетного счета;
номер банковской карты;
содержание трудового договора;
личные дела и трудовые книжки работников;
сведения о повышении квалификации и (или) профессиональной переподготовке работников, их аттестации;
сведения об инвалидности (группа; номер и серия справки, срок действия);
реквизиты разрешения на работу иностранного гражданина высококвалифицированного специалиста (если применимо);
реквизиты виз (если применимо);
реквизиты приглашений на въезд (если применимо);
данные миграционных карт (если применимо);
данные уведомлений о постановке на миграционный учет (если применимо);
иные ПДн в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей, предусмотренных пунктом 5.1 настоящего Положения.
5.4 Способы обработки ПДн
5.4.1 Обработка ПДн работников Компании включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн – действия, осуществляемые как с использованием средств автоматизации, так и без использования таких средств (неавтоматизированная обработка).
5.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн работников Компании осуществляется путем:
получения оригиналов необходимых документов (трудовая книжка, автобиография, иные документы);
копирования оригиналов документов;
внесения сведений в учетные формы (на бумажных и электронных носителях);
формирования ПДн в ходе кадровой работы;
внесения ПДн в информационные системы Компании.
5.5 Сроки обработки ПДн:
В течение срока, установленного действующим законодательством Российской Федерации;
В течение срока действия согласия работника (в том числе, в случае отзыва такого согласия);
По достижении целей обработки.
5.6 Обработка специальных категорий ПДн работников Компании осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1. настоящего Положения, в соответствии с подпунктом 2.3; подпунктом 3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных» и положениями Трудового кодекса Российской Федерации, за исключением случаев получения ПДн работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требуется письменное согласие работника).
5.7 Обработка ПДн работников Компании осуществляется при условии получения согласия указанных лиц в следующих случаях:
при передаче (распространении, предоставлении) ПДн третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;
при трансграничной передаче ПДн;
при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.
5.8 В случаях, предусмотренных пунктом 5.7 настоящего Положения, согласие субъекта ПДн оформляется в письменной форме, если иное не установлено действующим законодательством Российской Федерации, в частности, Федеральным законом «О персональных данных».
Все ПДн работников Компании следует получать непосредственно у самого работника. Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Компания должна сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа работника дать письменное согласие на их получении. Запрещается получать, обрабатывать и приобщать к личному делу работника Компании ПДн, не предусмотренные пунктом 5.3 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.9 При передаче персональных данных работника Компания должна соблюдать следующие требования:
не сообщать ПДн работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами;
не сообщать ПДн работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих ПДн работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен ПДн работников в порядке, установленном федеральными законами;
осуществлять передачу ПДн работника в пределах Компании в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
разрешать доступ к ПДн работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн работника, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать ПДн работника представителям работников в порядке, установленном федеральными законами, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными представителями их функций.
5.10 В целях обеспечения достоверности ПДн работники обязаны:
При приеме на йработу в Компанию представлять работникам Отдела по работе с персоналом ОП достоверные сведения о себе в порядке и объеме, предусмотренном законодательством РФ;
В случае изменения ПДн работника: фамилии, имени, отчества, адреса места жительства, паспортных данных, сведений об образовании, о состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом Отдел по работе с персоналом ОП в течение 5 рабочих дней с даты таких изменений.
5.11 При сборе ПДн работник Отдела по работе с персоналом ОП, осуществляющий сбор (получение) ПДн непосредственно от работников Компании, обязан разъяснить указанным субъектам ПДн юридические последствия отказа предоставить их ПДн.
6.1 Цели обработки ПДн
ПДн лиц, претендующих на замещение вакантных должностей в Компании, обрабатываются в целях:
содействия лицам, претендующим на замещение вакантных должностей в Компании, в трудоустройстве;
подбора персонала на замещение вакантных должностей в Компании;
формирования кадрового резерва.
6.2 Правовые основания обработки ПДн лиц, претендующих на замещение вакантных должностей в Компании:
Согласие лица, претендующего на замещение вакантной должности в Компании.
6.3 Категории обрабатываемых ПДн
В целях, указанных в пункте 6.1 настоящего Положения, обрабатываются следующие категории ПДн лиц, претендующих на замещение вакантных должностей в Компании:
фамилия, имя, отчество;
число, месяц, год рождения;
место рождения;
информация о гражданстве;
пол;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
сведения о трудовой деятельности;
сведения о воинском учете;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
сведения о прежних местах работы;
сведения о прохождении государственной гражданской службы (если применимо);
информация о классном чине государственной гражданской службы Российской Федерации (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы) (если применимо);
информация о повышении квалификации и профессиональной переподготовке, аттестации.
6.4 Способы обработки ПДн
6.4.1 Обработка ПДн лиц, претендующих на замещение вакантных должностей в Компании, включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые как с использованием средств автоматизации так и без использования таких средств (неавтоматизированная обработка).
6.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн лиц, претендующих на замещение вакантных должностей в Компании, осуществляется путем:
получения оригиналов необходимых документов (анкета, резюме, заявление, автобиография, иные документы);
формирования ПДн в ходе создания кадрового резерва;
внесения ПДн в информационные системы Компании, используемые Отделом по работе с персоналом ОП.
6.5 Сроки обработки ПДн:
В течение срока действия согласия лица, претендующего на замещение вакантной должности (в том числе, в случае отзыва такого согласия);
По достижении целей обработки.
6.6 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от лиц, претендующих на замещение вакантных должностей в Компании (или путем получения ПДн от кадровых агентств, с согласия лиц, претендующих на замещение вакантных должностей в Компании).
6.7 В случае возникновения необходимости получения ПДн лиц, претендующих на замещение вакантных должностей в Компании, у третьей стороны, следует известить об этом лиц, претендующих на замещение вакантных должностей в Компании заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения ПДн.
6.8 Передача (распространение, предоставление) и использование ПДн лиц, претендующих на замещение вакантных должностей в Компании, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
6.9 При сборе ПДн работник Отдела по работе с персоналом, осуществляющий сбор (получение) ПДн непосредственно от лиц, претендующих на замещение вакантных должностей в Компании, обязан разъяснить указанным субъектам ПДн юридические последствия отказа предоставить их ПДн.
7.1 Цели обработки ПДн
ПДн бывших работников Компании обрабатываются в целях:
обеспечения соблюдения законов и иных нормативных правовых актов;
формирования кадрового резерва.
7.2 Правовые основания обработки ПДн бывших работников Компании:
Налоговый кодекс Российской Федерации;
Федеральный закон от 21.11.1996 N 129-ФЗ «О бухгалтерском учете»;
Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации»;
Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
Согласие бывшего работника Компании.
7.3 Категории обрабатываемых ПДн:
В целях, указанных в пункте 7.1 настоящего Положения, обрабатываются следующие категории ПДн бывших работников Компании:
фамилия, имя, отчество;
число, месяц, год рождения;
место рождения;
пол;
информация о гражданстве;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
семейное положение, состав семьи и сведения о близких родственниках;
сведения о трудовой деятельности;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
фотография;
сведения о прежних местах работы;
сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы, размера денежного содержания (если применимо);
информация о классном чине государственной гражданской службы Российской Федерации (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы) (если применимо);
сведения о доходах;
сведения о повышении квалификации и (или) профессиональной переподготовке работников, их аттестации;
сведения об инвалидности (группа; номер и серия справки, срок действия).
7.4 Способы обработки ПДн:
Обработка ПДн бывших работников Компании включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые как с использованием средств автоматизации так и без использования таких средств (неавтоматизированная обработка).
Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн бывших работников Компании осуществляется путем:
внесения сведений в учетные формы (на бумажных и электронных носителях);
предоставления заверенных копий документов;
внесения ПДн в информационные системы Компании.
7.5 Сроки обработки ПДн:
В течение срока, установленного действующим законодательством Российской Федерации;
В течение срока действия согласия бывшего работника Компании (в том числе, в случае отзыва такого согласия);
По достижении целей обработки.
7.6 Передача (распространение, предоставление) и использование ПДн бывших работников Компании осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
8.1 Цели обработки ПДн
ПДн родственников работников Компании обрабатываются в целях:
обеспечения соблюдения законов и иных нормативных правовых актов (в том числе, законодательства Российской Федерации о правовом положении иностранных граждан в Российской Федерации и миграционном учете);
содействия в оформлении виз и билетов;
предоставления отчетности в налоговые органы и государственные фонды;
оформления договора (полиса) медицинского страхования;
выплаты алиментов, пособий.
8.2 Правовые основания обработки ПДн родственников работников Компании:
Трудовой кодекс;
Налоговый кодекс Российской Федерации;
Федеральный закон от 21.11.1996 N 129-ФЗ «О бухгалтерском учете»;
Постановление Госкомстата РФ от 5 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
Согласие родственника работника.
8.3 Категории обрабатываемых ПДн
В целях, указанных в пункте 8.1 настоящего Положения, обрабатываются следующие категории ПДн родственников работников Компании:
фамилия, имя отчество;
число, месяц, год рождения;
степень родства;
номер контактного телефона или сведения о других способах связи;
место рождения;
пол;
информация о гражданстве;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
реквизиты разрешения на работу иностранного гражданина высококвалифицированного специалиста (если применимо);
реквизиты виз (если применимо);
реквизиты приглашений на въезд иностранного гражданина;
данные миграционных карт иностранного гражданина;
данные уведомлений о постановке на миграционный учет иностранного гражданина;
реквизиты договора (полиса) медицинского страхования.
реквизиты свидетельств государственной регистрации актов гражданского состояния;
иные ПДн в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей, предусмотренных пунктом 8.1 настоящего Положения.
8.4 Способы обработки ПДн
8.4.1 Обработка ПДн родственников работников Компании включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые как с использованием средств автоматизации так и без использования таких средств (неавтоматизированная обработка).
8.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн родственников работников Компании осуществляется путем:
получения оригиналов необходимых документов;
копирования оригиналов документов;
внесения сведений в учетные формы (на бумажных и электронных носителях);
формирования ПДн в ходе кадровой работы;
предоставления заверенных копий документов;
внесения ПДн в информационные системы Компании.
8.5 Сроки обработки ПДн:
В течение срока, установленного действующим законодательством Российской Федерации;
В течение срока действия согласия родственника работника Компании (в том числе, в случае отзыва такого согласия);
По достижении целей обработки.
9.1 Цели обработки ПДн:
ПДн физических лиц, с которыми Компанией заключены договоры гражданско-правового характера (оказание услуг Компании, договоры поручительства) обрабатываются в целях:
обеспечения соблюдения законов и иных нормативных правовых актов;
исполнения обязательств по договорам гражданско-правового характера;
уступки прав требований по договорам гражданско-правового характера;
предоставления отчетности в налоговые органы и государственные фонды.
9.2 Правовые основания обработки ПДн физических лиц, с которыми Компанией заключены договоры гражданско-правового характера (оказание услуг Компании, договоры поручительства):
Налоговый кодекс Российской Федерации;
Федеральный закон от 21.11.1996 N 129-ФЗ «О бухгалтерском учете»;
Договор;
Согласие лица, с которым Компанией заключен гражданско-правой договор (если применимо).
9.3 Категории обрабатываемых ПДн
В целях, указанных в пункте 9.1 настоящего Положения, обрабатываются следующие категории ПДн физических лиц, с которыми Компанией заключены договоры гражданско-правового характера (оказание услуг Компании, договоры поручительства):
фамилия, имя, отчество;
число, месяц, год рождения;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
адрес места жительства (адрес регистрации, фактического проживания);
место рождения;
номер контактного телефона или сведения о других способах связи;
пол;
информация о гражданстве;
сведения финансового характера: размер оплаты работ/услуг по договору гражданско-правового характера, иные начисления и выплаты, сведения о счетах в банке для начисления оплаты и иных выплат, сведения о подлежащих уплате и уплачиваемых налогах и страховых взносах во внебюджетные фонды.
9.4 Способы обработки ПДн
9.4.1 Обработка ПДн физических лиц, с которыми Компанией заключены договоры гражданско-правового характера включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые с использованием средств автоматизации.
9.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн физических лиц, с которыми Компанией заключены гражданско-правовые договоры осуществляется путем:
получения оригиналов необходимых документов;
копирования оригиналов документов;
внесения сведений в учетные формы (на бумажных и электронных носителях);
внесения ПДн в информационные системы Компании.
9.4.3 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от физических лиц, лиц, с которыми Компанией заключены договоры гражданско-правового характера.
9.4.4 Передача (распространение, предоставление) и использование ПДн физических лиц, с которыми Компанией заключены договоры гражданско-правового характера осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
9.5 Сроки обработки ПДн:
В течение срока, установленного действующим законодательством Российской Федерации;
В течение срока действия согласия физических лиц, с которыми Компанией заключены договоры гражданско-правового характера (оказание услуг Компании, договоры поручительства), в том числе, в случае отзыва такого согласия (если применимо);
По достижении целей обработки.
10.1 Цели обработки ПДн
ПДн лиц, направляемых в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала), обрабатываются в целях:
обеспечения соблюдения законов и иных нормативных правовых актов;
выполнения работниками, направляемыми в Компанию по договору о предоставлении труда работников (персонала) определенных их трудовыми договорами трудовых функций в интересах, под управлением и контролем Компании;
выполнения обязательств по договору о предоставлении труда работников (персонала);
обеспечения личной безопасности работников и лиц, направляемых в Компанию по договору о предоставлении труда работников (персонала);
оформления командировок, заказ билетов и бронирование гостиниц;
контроля количества и качества выполняемой работы;
обеспечения сохранности имущества;
выплаты заработной платы и других выплат, связанных с трудовой деятельностью;
обеспечения кадровой работы и формирования кадрового резерва.
10.2 Правовые основания обработки ПДн лиц, направляемых в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала):
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 21.11.1996 N 129-ФЗ «О бухгалтерском учете»;
Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации»;
Договор о предоставлении труда работников (персонала);
Согласие работника, направляемого в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала) – если применимо.
10.3 Категории обрабатываемых ПДн
В целях, указанных в пункте 10.1 настоящего Положения, обрабатываются следующие категории ПДн лиц, направляемых в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала):
фамилия, имя, отчество;
число, месяц, год рождения;
пол;
содержание трудового договора;
информация о гражданстве;
номер контактного телефона или сведения о других способах связи;
сведения о трудовой деятельности;
информация о владении иностранными языками, степень владения;
фотография.
10.4 Способы обработки ПДн
10.4.1 Обработка ПДн лиц, направляемых в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала), включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые с использованием средств автоматизации.
10.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн лиц, направляемых в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала), осуществляется путем:
получения оригиналов и/или копий необходимых документов;
копирования оригиналов документов;
внесения ПДн в информационные системы Компании.
10.4.3 Обработка ПДн лиц, направляемых в Компанию частным агентством занятости по договору о предоставлении труда работников (персонала), осуществляется при условии получения согласия указанных лиц в следующих случаях:
при передаче (распространении, предоставлении) ПДн третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;
при трансграничной передаче ПДн;
при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.
10.4.4 В случаях, предусмотренных пунктом 10.4.3 настоящего Положения, согласие субъекта ПДн оформляется в письменной форме, если иное не установлено действующим законодательством Российской Федерации, в частности, Федеральным законом «О персональных данных».
10.5 Сроки обработки ПДн:
В течение срока, установленного действующим законодательством Российской Федерации;
В течение срока действия согласия лица, направляемого по договору о предоставлении труда работников (персонала) (в том числе, в случае отзыва такого согласия);
В течение срока действия Договора о предоставлении труда работников (персонала);
По достижении целей обработки.
11.1. Цели обработки ПДн
ПДн пользователей веб-сервисов обрабатываются в целях:
предоставления рекламной и маркетинговой информации о Товарах, специальных предложениях, проведении специальных мероприятий, акций, презентаций и т.д.;
проведения исследований, опросов сбора информации о потребителях Товаров, исследования мнения потребителей о Товарах, в частности о их качестве;
организация программ лояльности, иных акций, направленных на стимулирование спроса на Товары;
предоставления информации о Товарах;
формирования и ведения реестра потребителей Товаров.
11.2. Правовые основания обработки ПДн пользователей веб-сервисов:
Условия использования, размещенные на веб-сервисах;
Согласие пользователя веб-сервисов.
11.3. Категории обрабатываемых ПДн:
В целях, указанных в пункте 11.1 настоящего Положения, обрабатываются следующие категории ПДн пользователей веб-сервисов:
фамилия, имя, отчество;
номер контактного телефона или сведения о других способах связи;
адреса электронной почты;
идентификаторы в социальных сетях;
идентификаторы в приложениях обмена сообщениями (чаты).
11.4. Способы обработки ПДн
11.4.1 Обработка ПДн пользователей веб-сервисов включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые с использованием средств автоматизации.
11.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн пользователей веб-сервисов осуществляется путем:
внесения ПДн в информационные системы Компании.
11.4.3 Компания обрабатывает cookies. Компания получает статистические данные о предпочтениях и поведении пользователей веб-сервисов. Используя сервис Компании, пользователь веб-сервисов соглашается с правилами сервиса и выражает согласие на обработку файлов cookies.
11.5. Сроки обработки ПДн:
В течение срока действия согласия пользователя веб-сервисов (в том числе, в случае отзыва такого согласия);
По достижении целей обработки.
12.1. Цели обработки ПДн
ПДн потребителей обрабатываются в целях:
обеспечения соблюдения законов и иных нормативных правовых актов;
предоставления рекламной и маркетинговой информации о специальных предложениях, проведении специальных мероприятий, акций, презентаций и т.д. в отношении Товаров;
консультирования по вопросам подбора и использования Товаров;
проведения исследований, опросов, сбора информации о потребителях Товаров, исследования мнения потребителей о Товарах, в частности о их качестве, о качестве выполненного заказа;
организации программ лояльности, иных акций, направленных на стимулирование спроса на Товары;
формирования и ведения реестра потребителей Товаров.
12.2. Правовые основания обработки ПДн потребителей:
Закон РФ от 07.02.1992 N 2300-1 «О защите прав потребителей»;
Налоговый кодекс Российской Федерации;
Согласие потребителя.
12.3. Категории обрабатываемых ПДн:
В целях, указанных в пункте 12.1 настоящего Положения, обрабатываются следующие категории ПДн потребителей:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания), адрес доставки;
номер контактного телефона или сведения о других способах связи;
адреса электронной почты;
дата рождения;
реквизиты банковского счета;
данные о банковской карте.
12.4. Способы обработки ПДн
12.4.1 Обработка ПДн потребителей включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые как с использованием средств автоматизации, так и без использования таких средств (неавтоматизированная обработка).
12.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн потребителей осуществляется путем:
предоставления заверенных копий документов;
внесения ПДн в информационные системы Компании.
12.5. Сроки обработки ПДн:
В течение срока, установленного действующим законодательством Российской Федерации;
В течение срока действия согласия потребителя (в том числе, в случае отзыва такого согласия);
По достижении целей обработки.
13.1. Цели обработки ПДн
ПДн представителей/работников контрагентов Компании обрабатываются в целях:
обеспечения соблюдения законов и иных нормативных правовых актов;
ведения переговоров, заключения, изменения, расторжения договоров, исполнения обязательств по договорам;
уступки прав требований по договорам;
предоставления отчетности в налоговые органы и государственные фонды.
13.2. Правовые основания обработки ПДн представителей/работников контрагентов Компании
Договор;
Налоговый кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Федеральный закон от 21.11.1996 N 129-ФЗ «О бухгалтерском учете»;
Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации»;
Согласие представителя/работника Контрагента Компании.
13.3. Категории обрабатываемых ПДн
В целях, указанных в пункте 14.1 настоящего Положения, обрабатываются следующие категории ПДн представителей/работников контрагентов Компании:
фамилия, имя, отчество;
число, месяц, год рождения;
пол;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
информация о гражданстве;
номер контактного телефона или сведения о других способах связи;
сведения о трудовой деятельности;
занимаемая должность.
13.4. Способы обработки ПДн
13.4.1 Обработка представителей/работников контрагентов Компании включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые как с использованием средств автоматизации так и без использования таких средств (неавтоматизированная обработка).
13.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн представителей/работников контрагентов Компании осуществляется путем:
получения оригиналов и/или копий необходимых документов;
копирования оригиналов документов;
внесения ПДн в информационные системы Компании.
13.5. Сроки обработки ПДн
В течение срока, установленного действующим законодательством Российской Федерации;
В течение срока действия согласия представителей/работников контрагентов Компании (в том числе, в случае отзыва такого согласия);
По достижении целей обработки.
14.1. Цели обработки ПДн
ПДн участников мероприятий обрабатываются в целях:
сбора информации о потребителях Товаров, мнении потребителей о Товарах, в частности о их качестве;
информирования участников мероприятий о Товарах, а также о мероприятиях, проводимых и (или) организуемых Компанией;
обслуживания участников мероприятий, выполнения заказов, предоставления ответов на запросы;
выдача призов в рамках организуемых и/или проводимых Компанией мероприятий.
14.2. Правовые основания обработки ПДн участников мероприятий:
Налоговый кодекс Российской Федерации;
Согласие участника мероприятия.
14.3. Категории обрабатываемых ПДн
В целях, указанных в пункте 15.1 настоящего Положения, обрабатываются следующие категории ПДн участников мероприятий:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
дата рождения;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
пол.
14.4. Способы обработки ПДн
14.4.1 Обработка ПДн участников мероприятий включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение ПДн – действия, осуществляемые с использованием средств автоматизации.
14.4.2 Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн участников мероприятий осуществляется путем:
внесения ПДн в информационные системы Компании.
14.5. Сроки обработки ПДн:
В течение срока, установленного действующим законодательством Российской Федерации;
В течение срока действия согласия участников мероприятий (в том числе, в случае отзыва такого согласия);
По достижении целей обработки.
Обработка ПДн в Компании осуществляется:
15.1. В Информационных системах ПДн;
15.2. На автоматизированных рабочих местах работников, допущенных к обработке ПДн;
15.3. Информационная система персональных данных (далее – «ИСПДн») содержит ПДн работников Компании, лиц, претендующих на замещение вакантных должностей в Компании, лиц, с которыми у Компании заключены договоры гражданско-правового характера (оказание услуг Компании), лиц, направляемых в Компанию по договору о предоставлении труда работников (персонала), клиентов Компании, представителей/работников Контрагентов, участников мероприятий, и может включать:
персональный идентификатор;
фамилию, имя, отчество;
вид документа, удостоверяющего личность субъекта ПДн;
серию и номер документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе;
адрес места жительства субъекта ПДн;
почтовый адрес субъекта ПДн;
контактный телефон, факс (при наличии) субъекта ПДн;
адрес электронной почты субъекта ПДн;
субъекта ПДн;
иные сведения.
15.4. Работникам Компании, имеющим право осуществлять обработку ПДн в ИСПДн Компании, предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн Компании. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями работников Компании, а также политиками Компании.
15.5. Информация может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
15.6. Обеспечение безопасности ПДн, обрабатываемых в ИСПДн Компании, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, а также принятия следующих мер по обеспечению безопасности:
определение угроз безопасности ПДн при их обработке в ИСПДн Компании;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных;
применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн Компании, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
обнаружение фактов несанкционированного доступа к ПДн и принятие мер по обеспечению безопасности;
восстановление ПДн, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
установление правил и политик доступа к ПДн, обрабатываемым в ИСПДн Компании, а также обеспечение контроля действий, совершаемых с ПДн в ИСПДн Компании;
контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.
15.7. Отдел Информационных систем и технологий ОП Компании, ответственный за обеспечение информационной безопасности в Компании, организует и контролирует ведение учета материальных носителей ПДн.
15.8. Отдел Информационных систем и технологий ОП Компании, ответственный за обеспечение безопасности ПДн при их обработке в ИСПДн Компании, должен обеспечить:
своевременное обнаружение фактов несанкционированного доступа к ПДн и немедленное доведение этой информации до лица, ответственного за организацию обработки ПДн в Компании и руководителя Компании;
недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности ПДн;
знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
при обнаружении нарушений порядка предоставления ПДн незамедлительное приостановление предоставления ПДн пользователям ИСПДн до выявления причин нарушений и устранения этих причин;
разбирательство по фактам несоблюдения условий хранения материальных носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
15.9. Отдел Информационных систем и технологий ОП в Компании, ответственный за обеспечение функционирования ИСПДн в Компании, принимает все необходимые меры по восстановлению ПДн, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
15.10. Обмен ПДн при их обработке в ИСПДн Компании осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
15.11. Доступ работников Компании к ПДн, находящимся в ИСПДн Компании, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
15.12. В случае выявления нарушений порядка обработки ПДн в ИСПДн Компании уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
16.1. Под защитой ПДн понимается ряд правовых, организационных, организационно-технических и технических мер, направленных Компанией на:
обеспечение защиты ПДн от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении таких сведений;
соблюдение конфиденциальности ПДн;
реализацию права на доступ к ПДн;
иные меры, предусмотренные действующим законодательством РФ.
16.2. Компания соблюдает конфиденциальность и обеспечивает безопасность ПДн в соответствии с требованиями действующего законодательства РФ в области ПДн, в частности, устанавливаются и соблюдаются следующие меры, в том числе обеспечительные, согласно установленному уровню защищенности ПДн:
назначение Компанией лица, ответственного за организацию обработки ПДн;
ограничение и регламентация состава работников, функциональные (должностные) обязанности которых требуют доступа к ПДн;
издание и своевременная актуализация внутренних локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений действующего законодательства РФ, устранения последствий таких нарушений;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
учет машинных носителей ПДн;
осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн действующему законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам Компании;
оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
защита персональных компьютеров, на которых осуществляется обработка ПДн, паролями доступа и средствами защиты информации согласно установленному уровню защищенности ПДн;
обнаружение фактов и расследование случаев несанкционированного доступа к ПДн или разглашения ПДн и привлечение виновных лиц к ответственности;
иные меры, предусмотренные действующим законодательством Российской Федерации.
17.1 Сбор персональных данных
Компания получает ПДн из следующих источников:
- непосредственно от субъекта ПДн;
- от третьей стороны, в целях исполнения договорных обязательств или исполнения требований нормативных документов РФ;
- от другого субъекта ПДн, в целях реализации его законных прав.
Если предоставление ПДн является обязательным в соответствии с федеральным законом и субъект ПДн отказывается предоставить его ПДн, необходимо разъяснить субъекту ПДн юридические последствия такого отказа.
При сборе ПДн субъекту ПДн по его просьбе необходимо предоставить следующую информацию:
- подтверждение факта обработки ПДн;
- правовые основания и цели обработки ПДн;
- применяемые в Компании способы обработки ПДн;
- наименование и фактический адрес Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных действующим законодательством Российской Федерации;
- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу.
Если ПДн получены не от субъекта ПДн, то до начала обработки таких ПДн необходимо предоставить субъекту ПДн следующую информацию:
- наименование Компании;
- цель обработки ПДн и ее правовое основание;
- предполагаемые пользователи ПДн;
- права субъекта ПДн;
- источник получения ПДн.
Указанная информация может не предоставляться в следующих случаях:
- субъект ПДн уведомлен об осуществлении обработки его ПДн Компанией;
- ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
- ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
- предоставление субъекту ПДн указанных сведений нарушает права и законные интересы третьих лиц;
- лицо, предоставляющее ПДн Компании, письменно подтверждает факт уведомления субъектов о таком предоставлении;
- в договоре/соглашении с третьим лицом, от которого Компания получает ПДн, содержится положение о том, что субъекты уведомлены о предоставлении их ПДн Компании.
17.2 Хранение и учет персональных данных
В Компании должно быть обеспечено раздельное хранение ПДн при разных целях обработки и не допускается на одном бумажном носителе фиксация ПДн, цели обработки которых заведомо несовместимы.В Компании должно быть по возможности обеспечено раздельное хранение ПДн, собранных с разными целями обработки.
Хранение ПДн в Компании должно осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки и требования нормативных документов Российской Федерации, связанных с хранением документов.
17.3 Трансграничная передача
В Компании осуществляется трансграничная передача ПДн. Трансграничная передача ПДн осуществляется с соблюдением требований действующего законодательства Российской Федерации.
17.4 Блокирование персональных данных
Компания блокирует обрабатываемые ПДн при выявлении недостоверности обрабатываемых ПДн или неправомерных действий в отношении субъекта в следующих случаях:
- по требованию субъекта ПДн;
- по требованию уполномоченного органа по защите прав субъектов ПДн;
- по результатам внутренних контрольных мероприятий.
17.5 Актуализация, исправление, удаление и уничтожение персональных данных
В случае подтверждения факта неточности ПДн или неправомерности их обработки ПДн подлежат их актуализации Компанией, а обработка должна быть прекращена, соответственно.
При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- Компания не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между Компанией и субъектом ПДн.
Компания может заключать договоры с третьими сторонами на оказание услуг по уничтожению материальных носителей. При этом Компания и третья сторона соблюдают все правила для обеспечения конфиденциальности уничтожаемых данных.
17.6 Особенности неавтоматизированной обработки персональных данных
При использовании внутренних типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны выполняться следующие условия:
- в типовые формы или связанные с ними документы (инструкция по ее заполнению, карточки, реестры, журналы и тому подобное) включаются сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, наименование и адрес Компании, фамилия, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых в Компании способов обработки ПДн;
- в случае необходимости получения письменного согласия на обработку ПДн, в типовую форму включается поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации;
- типовая форма составляется таким образом, чтобы каждый из субъектов ПДн, чьи ПДн содержатся в документе, имел возможность ознакомиться со своими ПДн, не нарушая прав и законных интересов иных субъектов ПДн;
- в типовой форме исключается объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
18.1 В Компании все работники, участвующие в обработке ПДн, в обязательном порядке должны проходить внутренний инструктаж по следующим направлениям:
- общие вопросы обеспечения информационной безопасности в Компании;
- правила обработки ПДн;
- правила использования средств защиты информации, входящих в состав Системы защиты персональных данных Компании (далее – «СЗПДн»);
- ответственность за нарушение правил обработки и обеспечения безопасности ПДн.
18.2 Новые работники в обязательном порядке проходят вводный инструктаж по указанным направлениям.
18.3 Ответственным за организацию проведения инструктажа сотрудников Компании, участвующих в обработке и обеспечении безопасности ПДн, является Отдел по работе с персоналом ОП.
19.1 Управление доступом работников к персональным данным
19.1.1. Для определения перечня работников Компании, допущенных к работе с ПДн, разрабатывается и утверждается перечень подразделений и лиц, допущенных к работе с ПДн, в котором указываются структурные подразделения, должности, отдельные лица (при необходимости).
19.1.2. Сотрудник допускается к обработке ПДн только после:
- ознакомления с требованиями действующего законодательства в области персональных данных, настоящего Положения и иными организационно-распорядительными документами СЗПДн, выполнение требований которых обязательно для соответствующих работников;
- прохождения инструктажа по правилам обработки и обеспечения безопасности ПДн;
- ознакомления с видами ответственности за нарушение установленных в Компании правил обработки и обеспечения безопасности ПДн.
19.1.3. При получении доступа к ПДн, сотрудник становится Пользователем ПДн.
19.2 Управление доступом третьих сторон к персональным данным
19.2.1. Компания в ходе своей деятельности осуществляет предоставление доступа (в т. ч. осуществляет передачу) к ПДн третьим лицам в целях исполнения договорных обязательств перед субъектами ПДн, а также с целью обеспечения своей деятельности или исполнения требований нормативных документов РФ. При этом субъект ПДн может беспрепятственно получить доступ к перечню третьих сторон, которым предоставляется доступ к его ПДн, если это не противоречит требованиям законодательства РФ.
19.2.2. Компанией передаются ПДн только в объеме, необходимом для достижения заявленных целей обработки.
19.2.3. Существенным условием договоров с третьими сторонами, в рамках исполнения которых предоставляется доступ к ПДн, является обязанность соблюдения сторонами мер обеспечения конфиденциальности и безопасности ПДн при их обработке.
19.3 Поручение обработки персональных данных
19.3.1. Компания может поручать обработку ПДн другим лицам (третьим сторонам), а также выступать в роли лица, осуществляющего обработку ПДн по поручению других операторов ПДн.
19.3.2. Компания поручает обработку ПДн третьим сторонам только с согласия субъекта ПДн или при наличии иного законного основания (договор с субъектом ПДн) при обязательном условии соблюдения стороной, осуществляющей обработку ПДн по поручению Компании, соблюдения правил обработки и обеспечения безопасности ПДн, установленных действующим законодательством Российской Федерации.
19.3.3. При обработке ПДн по поручению третьих сторон Компанией соблюдаются установленные соответствующими поручениями (договорами) требования к обеспечению безопасности ПДн.
19.3.4. В поручении на обработку ПДн должны быть в обязательном порядке определены:
- перечень ПДн;
- перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;
- цели обработки ПДн;
- обязанность третьего лица соблюдать конфиденциальность ПДн, обеспечивать безопасность ПДн при их обработке, а также обязанность по запросу Компании в течение срока действия поручения предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Компании требований установленных ст. 6 Федерального закона «О персональных данных»;
- требования к защите ПДн в соответствии со статьей 19 Федерального закона «О персональных данных».
20.1 Взаимодействие с органами власти осуществляется в соответствии с законодательством Российской Федерации.
20.2 Оценка законности и мотивированности запросов органов власти на предоставление информации о процессах обработки ПДн (в т. ч. на предоставление ПДн) проводится лицом, ответственным за организацию обработки ПДн в Компании.
20.3 При взаимодействии с органами власти обязательным является подача уведомления в уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн.
20.4 Подача Уведомления осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации.
20.5 Форма и детальный состав Уведомления определяется в соответствии с нормативными документами Уполномоченного органа по защите прав субъектов ПДн. Ответственным за подачу Уведомления является лицо, ответственное за организацию обработки ПДн в Компании.
21.1 Лицо, ответственное за организацию обработки ПДн в Компании назначается приказом Директора предприятия Компании и подотчетно ему.
21.2 Лицо, ответственное за обработку ПДн Компании в своей работе руководствуется законодательством Российской Федерации в области ПДн и настоящим Положением.
21.3 Лицо, ответственное за обработку персональных данных Компании обязано:
- организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПДн, обрабатываемых в Компании от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
- осуществлять внутренний контроль за соблюдением Компанией и сотрудниками Компании требований законодательства Российской Федерации в области ПДн, в том числе требований к защите ПДн;
- доводить до сведения сотрудников Компании положения законодательства Российской Федерации в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
- организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Компании;
- в случае нарушения в Компании требований к защите ПДн принимать необходимые меры по восстановлению нарушенных прав субъектов ПДн.
21.4 Лицо, ответственное за обработку ПДн вправе иметь доступ к информации, касающейся обработки персональных данных в Компании и включающей:
- цели обработки ПДн;
- категории обрабатываемых ПДн;
- категории субъектов, ПДн которых обрабатываются;
- правовые основания обработки ПДн;
- перечень действий с ПДн, общее описание используемых в Компании способов обработки ПДн;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки ПДн;
- срок или условия прекращения обработки ПДн;
- сведения о наличии или об отсутствии трансграничной передачи Пдн в процессе их обработки;
- сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации;
- привлекать к реализации мер, направленных на обеспечение безопасности ПДн, обрабатываемых в Компании, иных сотрудников Компании с возложением на них соответствующих обязанностей и закреплением ответственности.
21.5 Лицо, ответственное за обработку ПДн в Компании несет ответственность за надлежащее выполнение возложенных функций по организации обработки ПДн в Компании в соответствии с положениями законодательства Российской Федерации в области ПДн.
22.1 Лица, виновные в нарушении положений настоящего Положения, иных локальных нормативных актов Компании, регулирующих обработку ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
22.2 За нарушение действующего законодательства РФ в области персональных данных и настоящего Положения, а также подписанного сотрудником Обязательства о неразглашении информации, содержащей ПДн, неразглашении персональных данных, к сотрудникам Компании могут применяться следующие дисциплинарные взыскания: замечание; выговор; увольнение.
22.3 Дисциплинарные взыскания, указанные в п. 23.2 настоящего Положения, применяются в соответствии с локальными актами Компании, трудовым законодательством, и в зависимости от тяжести последствий нарушения (-ий) для Компании и (или) сотрудника Компании.
23.1 Настоящее Положение является внутренним документом Компании, является общедоступным и подлежит опубликованию на официальном интернет сайте Компании.
23.2 Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных.
23.3 Контроль исполнения требований настоящего Положения осуществляется сотрудником Компании, ответственным за организацию обработки персональных данных.