Положение об обработке персональных данных
Общество с ограниченной ответственностью «МЕКО»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об обработке персональных данных в ООО «МЕКО» (далее - Положение) разработано в соответствии с Конституцией РФ, Трудовым Кодексом РФ, Федеральным законом от 27.06.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами РФ, регулирующими обработку персональных данных.
1.2. Целью данного Положения является защита персональных данных субъектов персональных данных от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Положением определяется порядок получения, систематизации, использования, хранения, передачи, удаления и уничтожения сведений, составляющих персональные данные субъектов персональных данных ООО «МЕКО» (далее – Оператор).
1.4. В целях настоящего Положения к субъектам персональных данных ООО «МЕКО» (далее – субъекты персональных данных) относятся:
- соискатели на должности у Оператора;
- студенты высших учебных заведений, проходящие у Оператора учебно-ознакомительную и преддипломную практику;
- лица, заключившие с Оператором трудовой договор, том числе уволенные;
- члены семей работников Оператора;
- посетители/покупатели интернет-магазина Оператора;
- контрагенты Оператора.
1.5. Персональные данные - любая информация, относящаяся к конкретному субъекту персональных данных и необходимая Оператору в связи с трудовыми отношениями, договорными отношениями Оператора или деятельностью интернет-магазина Оператора.
1.6. Персональные данные относятся к категории конфиденциальной информации. Документы, содержащие персональные данные, являются конфиденциальными, однако, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
1.7. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.8. Основные права и обязанности Оператора и субъектов персональных данных.
1.8.1. Права и обязанности субъектов персональных данных
1.8.1.1. Субъекты, персональные данные которых обрабатываются Оператором, имеют право:
1) на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";
2) на получение информации, касающейся обработки своих персональных данных;
3) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.8.1.2. Во всех случаях отказ субъекта персональных данных от своих прав на сохранение и защиту тайны недействителен.
1.8.1.3. Субъекты, персональные данные которых обрабатываются Оператором, обязаны:
1) своевременно сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством РФ и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;
2) незамедлительно (в срок, не превышающий 5-ти рабочих дней с даты изменения персональных данных) сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных (Приложение № 3 к настоящему Положению).
1.8.2. Права и обязанности работников Оператора, обрабатывающих персональные данные субъектов персональных данных
1.8.2.1. Работники Оператора, обрабатывающие персональные данные, в зависимости от целей обработки, указанных в п.3.3.1 настоящего Положения, вправе:
1) получать документы, содержащие персональные данные;
2) требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
1.8.2.2. Работники Оператора, обрабатывающие персональные данные субъектов персональных данных, обязаны:
1) обрабатывать персональные данные, полученные в установленном действующим законодательством РФ порядке;
2) рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);
3) предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым Оператором;
4) принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
5) организовывать хранение документов Оператора, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства РФ.
2. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ.
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
2.1. В зависимости от целей, указанных в п.3.3.1 настоящего Положения, Оператор может обрабатывать персональные данные следующих категорий субъектов:
2.1.1. Соискатели на должности у Оператора:
- фамилия, имя, отчество;
- год и место рождения;
- контактные данные;
- сведения о профессии и иные персональные данные, сообщаемые соискателем в резюме, сопроводительных письмах, анкете.
2.1.2. Студенты высших учебных заведений:
- фамилия, имя, отчество;
- пол;
- возраст;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- иные персональные данные, сообщаемые студентами в резюме, сопроводительных письмах, анкете.
2.1.3. Работники Оператора:
- фамилия, имя, отчество;
- пол;
-дата и место рождения;
- изображение (фотография);
- паспортные данные;
- адрес регистрации и фактического проживания;
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и/или дисциплинарных взысканий;
- данные о регистрации брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения об удержании алиментов;
- сведения о доходе с предыдущего места работы;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
2.1.4. Лица, входящие в органы управления Оператора:
- фамилия, имя, отчество;
- сведения о трудовой деятельности;
- образование;
- индивидуальный номер налогоплательщика;
- адрес проживания;
- фотография;
- номер телефона;
- адрес электронной почты.
2.1.5. Иностранные граждане, являющиеся работниками Оператора, а также члены их семей:
для иностранных работников:
- фамилия, имя, второе имя в русской и латинской транскрипциях;
- пол;
- фотография;
- сведения о гражданстве;
- дата рождения;
- номер паспорта, дата выдачи и срок действия паспорта;
- номер и срок действия визы в РФ;
- адрес в стране постоянного проживания;
- фактический адрес проживания в РФ;
- должность и обязанности, выполняемые у Оператора;
- сведения о высшем образовании (наименование высшего учебного заведения, город и страна его местонахождения, год окончания, специальность);
- место рождения (страна, населенный пункт);
- сведения о трудовой деятельности (наименования предыдущих работодателей, их местонахождения, периоды работы, занимаемые должности);
- сведения о семейном положении;
- номер и срок действия разрешения на работу;
- реквизиты действующей рабочей визы (кратность, номер, дата выдачи, срок действия, идентификатор визы, номер приглашения на въезд);
- фамилия, имя, второе имя, даты рождения супруга(и) и детей;
- контактные телефоны за рубежом и в РФ;
- адрес постановки на миграционный учет в РФ.
для членов семей иностранных работников:
- фамилия, имя, второе имя в русской и латинской транскрипциях;
- пол;
- фотография;
- сведения о гражданстве;
- дата и место рождения;
- номер паспорта, срок действия паспорта;
- номер и срок действия визы в РФ (при наличии);
- степень родства с иностранным работником Оператора;
- фамилия, имя, второе имя в русской и латинской транскрипциях иностранного работника.
2.1.6. Посетители/Покупатели интернет-магазина Оператора www.ladycollection.com:
- Фамилия, Имя, Отчество
- Пол
- Дата рождения
- Адреса доставок
- Мобильный телефон
- История покупок
- IP адрес
- Обозреватель интернет-страниц (браузер)
2.1.7. Контрагенты Оператора (ИП, единоличный исполнительный орган/представитель юридического лица):
информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Контрагента, в том числе:
- пол;
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации;
- индивидуальный номер налогоплательщика;
- номер телефона;
- адрес электронной почты;
- занимаемая должность;
- место работы.
2.2. Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться:
- фамилия, имя, отчество;
- должность;
- наименование подразделения;
- адрес электронной почты;
- контактный номер телефона;
- иные персональные данные, сообщаемые субъектом персональных данных для указанных целей.
2.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
2.4. Оператором не осуществляется обработка персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (кроме тех сведений, которые относятся к вопросу возможности выполнения работником своей трудовой функции), интимной жизни, судимости.
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
Обеспечение безопасности персональных данных в информационных системах персональных данных достигается путем:
а) определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
б) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
в) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
г) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
д) учета машинных носителей персональных данных;
е) обнаружения фактов несанкционированного доступа к персональным данным и принятием мер по прекращению несанкционированного доступа;
ж) восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
з) установления правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
3.2. Обработка персональных данных осуществляется путем:
1) получения (сбора) информации, содержащей персональные данные, в устной и/или письменной форме непосредственно от субъектов персональных данных;
2) предоставления субъектами персональных данных оригиналов необходимых документов;
3) получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
4) получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством РФ;
5) получения персональных данных из общедоступных источников;
6) фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
7) внесения персональных данных в информационные системы Оператора ;
8) использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Оператором деятельности.
3.3.Сбор персональных данных.
3.3.1. Сбор персональных данных осуществляется в следующих целях:
1) обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов РФ;
2) исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
3) проведения учебно-ознакомительной и преддипломной практики;
4) содействия кандидатам в трудоустройстве, работникам в получении образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
5) ведения кадрового делопроизводства и личных дел работников;
6) предоставления работникам отпусков и направления их в командировки;
7) организации и оформления награждений и поощрений работников;
8) оформления заграничных паспортов и виз, а также медицинских страховок для выезжающих за рубеж;
9) организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
10) предоставления работникам дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
11) заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
12) формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;
13) обеспечения пропускного режима;
14) предоставления возможности Посетителю/Покупателю совершения покупок в интернет-магазине Оператора, осуществления клиентской поддержки Покупателя, выполнения Оператором обязательств перед Покупателем, регистрации дисконтных карт Покупателя, регистрации Покупателя на сайте Оператора, проведения оценки и анализа работы сайта Оператора,
15) проведения Оператором маркетинговых и рекламных мероприятий в отношении Посетителя/Покупателя;
16) публикации на сайте Интернет-магазина www.ladycollection.com отзывов и комментариев Покупателей, в том числе содержащих изображения Покупателей;
17) осуществления договорных отношений;
18) в иных целях, прямо предусмотренных законом.
3.3.2.Источником информации обо всех персональных данных субъекта персональных данных является непосредственно субъект персональных данных.
3.3.3.Если персональные данные можно получить только у третьей стороны, то субъект персональных данных должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Оператор обязан сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
3.3.4. Субъект персональных данных представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений представленных субъектом персональных данных, в том числе сверяя с имеющимися у Оператора документами.
Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
Предоставление Посетителем/Покупателем интернет-магазина данных, которые не найдут подтверждения при осуществлении Продавцом проверки их достоверности, может послужить основанием для увеличения срока исполнения заявленных покупателем требований либо для отказа в удовлетворении заявленных требований.
3.3.5. При поступлении на работу работник заполняет анкету.
Анкета представляет собой перечень вопросов о персональных данных работника. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
Анкета работника должна храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
3.3.6. Личное дело работника оформляется после издания приказа о приеме на работу.
Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилия, имя, отчество работника.
К каждому личному делу прилагаются две цветные фотографии работника размером 3х4.
3.3.7. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
3.3.8. Посетитель/Покупатель сайта Интернет-магазина Ladycollection.com самостоятельно вносит свои персональные данные, необходимые для регистрации на сайте (создании личного кабинета) и при оформлении заказа.
3.4.Передача персональных данных.
3.4.1. Передача персональных данных субъекта персональных данных третьим лицам (в том числе трансграничная передача) допускается только с согласия субъекта персональных данных или в случаях установленных законодательством РФ (Приложение № 1 к настоящему Положению).
3.4.2. При передаче персональных данных субъекта персональных данных третьим лицам Оператор должен соблюдать следующие требования:
- не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ;
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупредить лиц, получивших
персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых
они сообщены, и требовать от этих лиц подтверждения того, что это правило
соблюдено. Лица, получившие персональные данные субъекта
персональных данных, обязаны соблюдать режим
секретности (конфиденциальности). Данное Положение не
распространяется на обмен персональными данными субъекта
персональных данных в
порядке, установленном федеральными законами.
3.4.3.Оператор вправе поручить обработку
персональных данных другому юридическому лицу или индивидуальному
предпринимателю с согласия субъектов персональных данных на основании заключаемого
договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие
обработку персональных данных по поручению Оператора, обязаны соблюдать
принципы и правила обработки персональных данных, предусмотренные законодательством
РФ в области персональных данных.
В случае, когда Оператор на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
3.4.4. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел РФ, Министерство иностранных дел РФ, Федеральную налоговую службу, Пенсионный фонд РФ, Федеральный фонд обязательного медицинского страхования РФ и другие) осуществляется в соответствии с требованиями законодательства РФ.
3.4.5. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных, Оператор обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении таких данных.
3.4.6. Передача персональных данных субъектов персональных данных в пределах ООО «МЕКО» осуществляется в соответствии с настоящим Положением.
3.4.7. При передаче Оператором персональных данных субъекта персональных данных его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
3.5. Использование персональных данных.
3.5.1. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
3.6. Доступ к персональным данным.
3.6.1. К обработке персональных данных допускаются только те работники Оператора, в должностные обязанности которых входит обработка персональных данных.
Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
3.6.2. Перечень лиц с указанием ФИО и должностей, имеющих право доступа к персональным данным субъектов персональных данных, утверждается приказом Руководителя Оператора.
Лица, имеющие право доступа к персональным данным субъектов персональных данных, обязаны подписать обязательство о неразглашении конфиденциальной информации по форме Приложения № 2 к настоящему Положению.
3.6.3. Копировать и делать выписки персональных данных субъектов персональных данных допускается только с разрешения Администратора персональных данных или его непосредственного руководителя.
3.7. Хранение персональных данных.
3.7.1. Хранение персональных данных Оператор осуществляет в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки.
3.7.2.Сроки хранения персональных данных у Оператора определяются в соответствии с законодательством РФ и нормативными актами Оператора в области документооборота.
3.7.3. Личные дела хранятся в бумажном виде в папках в запирающихся шкафах в отделе кадров Оператора или помещениях, ограничивающих защиту от несанкционированного доступа.
3.7.4. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), и личное дело передается в архив Оператора на хранение.
3.7.5. В отделе кадров Оператора кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
- трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- пр. документы.
3.7.6. Персональные данные субъектов персональных данных также хранятся в электронных базах данных и в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные субъектов персональных данных, обеспечивается системой паролей. Пароли устанавливает Администратор персональных данных Оператора, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным субъектов персональных данных. Пароли изменяются не реже одного раза в 6 месяцев.
3.7.7. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
3.7.8. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) и в информационных системах персональных данных.
3.7.9. Персональные данные Посетителей/Покупателей сайта Интернет-магазина Ladycollection.com хранятся в CMS-системе сайта и в системе 1С Оператора.
3.8. Актуализация, исправление, удаление и уничтожение персональных данных
3.8.1.В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения.
Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.8.2. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные.
3.8.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона "О персональных данных".
3.8.4. Обязанность по уничтожению персональных данных возникает у Оператора в следующих случаях:
• при необоснованном получении персональных данных;
• при неправомерной обработке персональных данных;
• при достижении целей обработки персональных данных;
• при отзыве субъектом персональных данных согласия на обработку его персональных данных.
Под уничтожением персональных данных понимают действия, в результате которых становится невозможным восстановить содержание ранее полученных персональных данных (зачищение цифровых носителей; безвозвратное уничтожение материальных носителей)
Способ уничтожения персональных сведений Оператор выбирает самостоятельно.
Если обработка персональных данных осуществляется вручную, без применения компьютеров, то их уничтожение подтверждается актом об уничтожении носителей, составляемым в произвольной форме.
Если обработка персональных данных осуществляется с использованием компьютерной техники, то их уничтожение подтверждается помимо акта об уничтожении и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Уничтожение персональных сведений осуществляется на основании приказа или распоряжения руководителя Оператора.
3.9. Защита персональных данных
3.9.1. Оператор предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
6.3. Меры защиты, реализуемые Оператором при обработке персональных данных, включают:
1) принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
2) назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Оператора;
3) организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных у Оператора;
4) создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные, в том числе путем установки на персональные компьютеры, в которых содержаться персональные данные, защитных паролей доступа;
5) организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
6) хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
7) обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
8) обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
9) установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения мер по обеспечению безопасности персональных данных;
10) обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
11) использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
12) осуществление внутреннего контроля за соблюдением Оператором законодательства РФ и локальных нормативных актов Оператором при обработке персональных данных.
4. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ОПЕРАЦИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
4.1. Оператор и его сотрудники при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим положением, а также нормами федерального, регионального и муниципального законодательства РФ.
4.1.1. Разглашение персональных данных субъектов персональных данных Оператора, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленным настоящим Положением, а также иными локальными нормативными актами Оператора, лицом, ответственным за получение, обработку и защиту персональных данных субъектов персональных данных, - влекут наложение на него дисциплинарного взыскания (выговора, увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ).
4.1.2. В случае причинения ущерба Оператору работник, имеющий доступ к персональным данным субъектов персональных данных и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 ТК РФ.
4.1.3. Работник Оператора, имеющий доступ к персональным данным субъектов персональных данных и незаконно использовавший или разгласивший указанную информацию без согласия субъектов персональных данных из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. ст. 137, 140, 272 УК РФ.
4.1.4. Руководитель Оператора за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.39, 13.11, 13.14 КоАП РФ, а также возмещает субъекту персональных данных ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом субъекте персональных данных.
4.2. Неправомерность деятельности Оператора по сбору и использованию персональных данных может быть установлена в судебном порядке.
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
5.1. Работники Оператора должны быть ознакомлены под расписку с настоящим Положением и иными документами Оператора (при их наличии), устанавливающими порядок обработки персональных данных в ООО «МЕКО», а также об их правах и обязанностях в этой области.
5.2. Порядок ввода в действие и изменение настоящего Положения.
5.2.1. Настоящее Положение вступает в силу с момента его утверждения руководителем Оператора и действует бессрочно, до замены его новым Положением.
5.2.2.Все изменения в Положение вносятся соответствующим приказом руководителя Оператора.
Приложение 1 к Положению
Генеральному директору ООО «МЕКО» Туран Аттиле
От ____________________________________
_______________________________________
Проживающего (ей) ______________________
_______________________________________
_______________________________________
Тел.:___________________________________
Паспорт: серия__________ № _____________
Дата выдачи____________________________
Кем выдан _____________________________
__________________ __________________
ФОРМА СОГЛАСИЯ
на обработку персональных данных
В соответствии с п.4 ст.9 Федерального Закона «О персональных данных» от 27.07.2006 года № 152-ФЗ, даю согласие на обработку моих персональных данных (Ф.И.О., пол; дата и место рождения; дактилоскопические данные; изображение (фотография, видеозапись); аудиозапись; паспортные данные; адреса регистрации по месту жительства и фактического проживания; номера телефонов: домашнего и мобильного; ИНН; СНИЛС; сведения о трудовом стаже, предыдущих местах работы, доходах на предыдущих местах работы; сведения об образовании, квалификации, профессиональной подготовке, о повышении квалификации; данные о регистрации брака; данные о семейном положении, наличии детей, составе семьи, необходимые для предоставления законодательно установленных льгот; отношение к воинской обязанности; сведения об инвалидности; сведения о событиях, связанных с моей трудовой деятельностью в ООО «МЕКО»; данные о моих доходах в ООО «МЕКО»; информация о моих деловых качествах), т.е. на совершение действий, предусмотренных Федеральным законом «О персональных данных» от 27.07.2006 года № 152-ФЗ.
Обработка данных должна осуществляться с целью:
Обеспечения соблюдения требований законодательства РФ;
Оформления и регулирования трудовых отношений;
Отражения информации в кадровых документах;
Начисления заработной платы;
Исчисления и уплаты налоговых платежей, предусмотренных законодательством РФ;
Представления законодательно установленной отчетности по физическим лицам в ИФНС и внебюджетные фонды;
Подачи сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы и иных выплат;
Предоставления налоговых вычетов;
Обеспечения безопасных условий труда;
Обеспечения сохранности имущества, принадлежащего работодателю;
Контроля требований к количеству и качеству выполняемой мной работы;
Формирования справочных материалов для внутреннего информационного обеспечения деятельности ООО «МЕКО»;
Обеспечения пропускного режима.
Предоставляю право осуществлять все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе трансграничную передачу), обезличивание, блокирование, уничтожение персональных данных в соответствии с целями обработки.
Я ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.
Настоящее соглашение вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
«______» _______________ 201__ года ________________ _________________
(подпись) Ф.И.О.
Приложение 2 к Положению
Форма обязательства о неразглашении персональных данных
Я, ____________________________________________________________________________, занимающий(ая) должность __________________________________________________________, предупрежден(а), что на период исполнения должностных обязанностей мне будет предоставлен допуск к персональным данным работников ООО «МЕКО» и во время исполнения своих обязанностей я буду осуществлять их обработку (в том числе сбор, запись, систематизацию, накопление, хранение, уточнение, использование и передачу).
Я понимаю, что разглашение такого рода информации может нанести прямой и (или) косвенный ущерб работникам ООО «МЕКО», а также ООО «МЕКО».
В связи с этим даю обязательство при обработке персональных данных работников ООО «МЕКО» строго соблюдать требования действующего законодательства, определяющего порядок обработки персональных данных, а также Положения персональных данных работников ООО «МЕКО».
Я подтверждаю, что за исключением случаев и (или) при отсутствии условий, предусмотренных действующим законодательством, не имею права:
1. Разглашать третьим лицам сведения о работниках ООО «МЕКО», относящиеся к категории их персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
2. Передавать и раскрывать третьим лицам сведения о работниках ООО «МЕКО», относящиеся к категории их персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
3. Использовать сведения о работниках ООО «МЕКО», относящиеся к категории их персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей с целью получения выгоды;
4. В течение года после прекращения права на допуск к сведениям о работниках ООО «МЕКО», относящимся к категории их персональных данных, разглашать и передавать третьим лицам известные мне сведениям о работниках ООО «МЕКО», относящимся к категории их персональных данных.
Я обязуюсь
- выполнять требования нормативных правовых актов, регламентирующих вопросы защиты конфиденциальных сведений.
- в случае попытки третьих лиц получить от меня сведения о работниках ООО «МЕКО», относящиеся к категории их персональных данных, сообщать непосредственному руководителю.
Я предупрежден(а) о том, что в случае нарушения мною требований действующего законодательства РФ и (или) Положения о персональных данных работников ООО «МЕКО», определяющих режим их обработки, в том числе в случае их незаконного разглашения или утраты, я несу ответственность в соответствии с действующим законодательством РФ, в частности ст. 90 ТК РФ.
С Положением о персональных данных работников ООО «МЕКО» и гарантиях их защиты ознакомлен(а).
_____________________ ________________ _________________
(должность) (подпись) (Ф.И.О.)
«______» ____________ 201__ года
Приложение 3 к Положению
Форма запроса/обращения субъекта персональных данных
(его представителя) об уточнении (обновлении, изменении) персональных данных
Генеральному директору ООО «МЕКО» Туран Аттиле
От ____________________________________
_______________________________________
Проживающего (ей) ______________________
_______________________________________
_______________________________________
Тел.:___________________________________
Паспорт: серия__________ № _____________
Дата выдачи____________________________
Кем выдан _____________________________
__________________ __________________
В соответствии с положениями ст. 21 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и на основании:
___________________________________________________________________________
(документ(ы) на основании которого(ых) Оператор обязан уточнить персональные данные)
прошу произвести уточнение (обновление, изменение) моих персональных данных либо обеспечить их уточнение (обновлении, изменении) (если обработка персональных данных осуществляется другим лицом, действующим по поручению ООО «МЕКО») согласно представленным документам.
Уведомление о внесенных изменениях прошу предоставить:
┌─┐
│ │ на бумажном носителе по адресу: _________________________________
└─┘
┌─┐
│ │ по адресу электронной почты: _____________________________
└─┘
______________________________ ___________________________
(дата) (подпись)