Положение об обработке персональных данных
Общество с ограниченной ответственностью «МЕКО»
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «МЕКО»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об обработке персональных данных в ООО «МЕКО» (далее - Положение) разработано в соответствии с Конституцией РФ, Трудовым Кодексом РФ, Федеральным законом от 27.06.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами РФ, регулирующими обработку персональных данных.
1.2. Целью данного Положения является защита персональных данных субъектов персональных данных от несанкционированного доступа и разглашения, неправомерного их использования или утраты, а также выявление и предотвращение нарушений законодательства РФ в области персональных данных, устранение последствий (данных) нарушений (законодательства РФ в области персональных данных).
1.3. Положением определяется порядок получения, систематизации, использования, хранения, уточнения (обновления, изменения), передачи, удаления и уничтожения сведений, составляющих персональные данные субъектов персональных данных ООО «МЕКО» (далее – Оператор).
1.4. В целях настоящего Положения к субъектам персональных данных ООО «МЕКО» (далее – субъекты персональных данных) относятся:
- соискатели на должности у Оператора;
- студенты высших учебных заведений, проходящие у Оператора учебно-ознакомительную и преддипломную практику;
- лица, заключившие с Оператором трудовой договор, том числе уволенные;
- члены семей работников Оператора;
- посетители/покупатели интернет-магазина Оператора;
- контрагенты Оператора.
1.5. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом.
2. ОСНОВНЫЕ ПОНЯТИЯ. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ.
2.1. Для целей настоящего Положения используются следующие основные понятия:
персональные данные – любая информация, относящаяся к конкретному субъекту персональных данных и необходимая Оператору в связи с трудовыми отношениями, договорными отношениями Оператора или деятельностью интернет-магазина Оператора.
персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных сотрудника неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.2. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций. Оператор для этой цели запрашивает у работника:
- фамилия, имя, отчество;
- дата, месяц и год рождения;
- место рождения;
- гражданство;
- сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
- место жительства;
- паспортные данные;
- трудовые книжки и (или) сведения о трудовой деятельности;
- страховой номер индивидуального лицевого счета;
- семейное положение, наличие детей, состав семьи, родственные связи;
- факты биографии и предыдущая трудовая деятельность (в том числе место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение, сведения о заработной плате;
- сведения о воинском учете;
- сведения о социальных льготах;
- контактная информация (номер телефона, адрес электронной почты);
- сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- биометрические персональные данные;
- дополнительно для иностранных работников:
· документ, удостоверяющий личность
· номер и срок действия разрешения на работу или патента (у временно пребывающих).
· реквизиты визы (кратность, номер, дата выдачи, срок действия, идентификатор визы, номер приглашения на въезд) и миграционной карты (для визовых иностранцев)
· реквизиты разрешения на временное проживание (у временно проживающих)
· реквизиты вида на жительство (у постоянно проживающих).
· реквизиты полиса ДМС
- дополнительные документы – в отдельных случаях, предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами президента РФ и постановлениями Правительства РФ.
Из указанного списка Оператор вправе получать и использовать только те сведения, которые характеризуют субъект персональных данных как сторону трудового договора.
2.3. Документами, содержащими персональные данные работников, являются:
- комплексы документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТД-Р);
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- копии отчетов, направляемых в государственные контролирующие органы.
2.4. Оператор может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться:
- фамилия, имя, отчество;
- должность;
- наименование подразделения;
- адрес электронной почты;
- контактный номер телефона;
- иные персональные данные, сообщаемые субъектом персональных данных для указанных целей.
2.5. Персональные данные Посетителей/Покупателей интернет-магазина Оператора https://ladycollection.com/ используются для целей совершения сделок купли-продажи (включая доставку и возврат товара) и участия в маркетинговых акциях.
Оператор для этой цели запрашивает у Посетителя/Покупателя интернет-магазина:
- Фамилия, Имя, Отчество
- Пол
- Адреса доставок
- Способы оплаты
- Мобильный телефон
- История покупок
- IP адрес
- Обозреватель интернет-страниц (браузер)
- Дата рождения (для участия в акции Happy sale в твой день рождения)
2.6. Персональные данные Контрагентов Оператора (ИП, единоличный исполнительный орган/представитель юридического лица) используются в связи с договорными отношениями
- фамилия, имя, отчество;
- дата рождения;
- паспортные данные;
- адрес регистрации;
- индивидуальный номер налогоплательщика;
- номер телефона;
- адрес электронной почты;
- занимаемая должность;
- место работы.
2.7. Персональные данные относятся к категории конфиденциальной информации. Документы, содержащие персональные данные, являются конфиденциальными, однако, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.
2.8. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
3. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА И СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Права и обязанности субъектов персональных данных
3.1.1. Субъекты, персональные данные которых обрабатываются Оператором, имеют право:
1) на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";
2) на получение информации, касающейся обработки своих персональных данных;
3) требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6) на свободный бесплатный доступ к своим персональным данным и ознакомление с ними, включая право на получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.
3.1.2. Во всех случаях отказ субъекта персональных данных от своих прав на сохранение и защиту тайны недействителен.
3.1.3. Субъекты, персональные данные которых обрабатываются Оператором, обязаны:
1) своевременно сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством РФ и локальными нормативными документами Оператора в объеме, необходимом для цели обработки;
2) незамедлительно (в срок, не превышающий 5-ти рабочих дней с даты изменения персональных данных) сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных (Приложение № 3 к настоящему Положению).
3.2. Права и обязанности работников Оператора, обрабатывающих персональные данные субъектов персональных данных
3.2.1. Работники Оператора, обрабатывающие персональные данные, в зависимости от целей обработки, указанных в п.3.3.1 настоящего Положения, вправе:
1) получать документы, содержащие персональные данные;
2) требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
3.2.2. Работники Оператора, обрабатывающие персональные данные субъектов персональных данных, обязаны:
1) обрабатывать персональные данные, полученные в установленном действующим законодательством РФ порядке;
2) рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);
3) предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым Оператором;
4) принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
5) организовывать хранение документов Оператора, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства РФ.
4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
4.2. Обработка в Обществе биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.3. В Обществе не осуществляется обработка персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (кроме тех сведений, которые относятся к вопросу возможности выполнения работником своей трудовой функции), интимной жизни, судимости.
4.4. Обработка персональных данных возможна только с согласия субъекта персональных данных либо без его согласия в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
4.5. Оператор не принимает, не снимает и не хранит копии личных документов субъектов персональных данных.
Документы, которые работник предъявляет Оператору для хранения в оригинале (справки, медицинские заключения и т. д.), хранятся в личном деле работника в течение 50 лет после расторжения с работником трудового договора.
4.6. Обработка персональных данных осуществляется путем:
1) получения (сбора) информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
2) предоставления субъектами персональных данных оригиналов необходимых документов;
3) получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
4) получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством РФ;
5) фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
6) внесения персональных данных в информационные системы Общества;
7) использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.
4.7. Сбор персональных данных.
4.7.1. Сбор персональных данных осуществляется в следующих целях:
1) обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов РФ;
2) исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
3) проведения учебно-ознакомительной и преддипломной практики;
4) содействия кандидатам в трудоустройстве, работникам в получении образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
5) ведения кадрового делопроизводства и личных дел работников;
6) предоставления работникам отпусков и направления их в командировки;
7) оформления заграничных паспортов и виз, а также медицинских страховок для выезжающих за рубеж;
8) организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
9) предоставления работникам дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
10) заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
11) формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;
12) обеспечения пропускного режима;
13) предоставления возможности Посетителю/Покупателю совершения покупок в интернет-магазине Оператора, осуществления клиентской поддержки Покупателя, выполнения Оператором обязательств перед Покупателем, регистрации дисконтных карт Покупателя, регистрации Покупателя на сайте Оператора, проведения оценки и анализа работы сайта Оператора,
14) проведения Оператором маркетинговых и рекламных мероприятий в отношении Посетителя/Покупателя;
15) публикации на сайте Интернет-магазина https://ladycollection.com/ отзывов и комментариев Покупателей, в том числе содержащих изображения Покупателей;
16) осуществления договорных отношений;
17) в иных целях, прямо предусмотренных законом.
4.7.2. Источником информации обо всех персональных данных субъекта персональных данных является непосредственно субъект персональных данных.
4.7.3.Если персональные данные можно получить только у третьей стороны, то субъект персональных данных должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Оператор обязан сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
4.7.4. Субъект персональных данных представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений представленных субъектом персональных данных, в том числе сверяя с имеющимися у Оператора документами.
Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
Предоставление Посетителем/Покупателем интернет-магазина данных, которые не найдут подтверждения при осуществлении Продавцом проверки их достоверности, может послужить основанием для увеличения срока исполнения заявленных покупателем требований либо для отказа в удовлетворении заявленных требований.
4.7.5. При поступлении на работу работник заполняет анкету.
Анкета представляет собой перечень вопросов о персональных данных работника. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
Анкета работника должна храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
4.7.6. Личное дело работника оформляется после издания приказа о приеме на работу.
Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилия, имя, отчество работника.
4.7.7. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
4.7.8. Посетитель/Покупатель сайта Интернет-магазина https://ladycollection.com/ самостоятельно вносит свои персональные данные, необходимые для регистрации на сайте (создании личного кабинета) и при оформлении заказа.
4.8. Передача персональных данных.
4.8.1. Передача персональных данных субъекта персональных данных третьим лицам (в том числе трансграничная передача) допускается только с письменного согласия субъекта персональных данных или в случаях установленных законодательством РФ (Приложение № 1 к настоящему Положению).
4.8.2. При передаче персональных данных субъекта персональных данных третьим лицам Оператор должен соблюдать следующие требования:
- не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ;
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными субъекта персональных данных в порядке, установленном федеральными законами.
4.8.3.Оператор вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Оператора, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ в области персональных данных.
В случае, когда Оператор на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
4.8.4. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел РФ, Министерство иностранных дел РФ, Федеральную налоговую службу, Пенсионный фонд РФ, Федеральный фонд обязательного медицинского страхования РФ и другие) осуществляется в соответствии с требованиями законодательства РФ.
4.8.5. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных, Оператор обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении таких данных.
4.8.6. Передача персональных данных субъектов персональных данных в пределах Оператора осуществляется в соответствии с настоящим Положением.
4.8.7. При передаче Оператором персональных данных субъекта персональных данных его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.8.8. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. (Приложение № 4 к настоящему Положению).
4.8.9. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
4.8.10. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
4.8.10.1. При принятии решений, затрагивающих интересы субъекта персональных данных, Оператор не имеет права основываться на персональных данных субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Оператор также не вправе принимать решения, затрагивающие интересы субъекта персональных данных, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных субъекта персональных данных невозможно достоверно установить какой-либо факт, Оператор предлагает субъекту представить письменные разъяснения.
4.8.11. В случае если в соответствии с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
4.8.12. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Оператору:
1) непосредственно;
2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
4.8.13. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении субъектом персональных данных таких запретов и условий не допускается.
4.8.14. Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта персональных данных для распространения.
4.8.15. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
4.8.16. Действие согласия субъекта персональных данных на распространение персональных данных, прекращается с момента поступления Оператору требования, указанного в пункте 5.5.16. настоящего положения.
4.8.17. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Оператор или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Оператор или третье лицо обязано прекратить передачу персональных данных субъекта персональных данных в течение трех рабочих дней с момента вступления решения суда в законную силу.
4.8.18. При получении персональных данных не от субъекта персональных данных (за исключением случаев, если персональные данные были предоставлены Оператору на основании федерального закона или если персональные данные являются общедоступными) Оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных;
- источник получения персональных данных.
4.8.19. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
4.9. Использование персональных данных.
4.9.1. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
4.10. Доступ к персональным данным.
4.10.1. К обработке персональных данных допускаются только те работники Оператора, в должностные обязанности которых входит обработка персональных данных.
Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
4.10.2. Перечень лиц с указанием ФИО и должностей, имеющих право доступа к персональным данным субъектов персональных данных, утверждается приказом Руководителя Оператора.
Лица, имеющие право доступа к персональным данным субъектов персональных данных, обязаны подписать обязательство о неразглашении конфиденциальной информации по форме Приложения № 2 к настоящему Положению.
4.10.3. Копировать и делать выписки персональных данных субъектов персональных данных допускается только с разрешения Администратора персональных данных или его непосредственного руководителя.
4.10.4. Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
4.10.5. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
4.11. Хранение персональных данных.
4.11.1. Хранение персональных данных Оператор осуществляет в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки.
4.11.2. Сроки хранения персональных данных определяются в соответствии с законодательством РФ и нормативными актами Оператора в области документооборота.
4.11.3. Личные дела хранятся в бумажном виде в папках в запирающихся шкафах в отделе кадров Оператора или помещениях, обеспечивающих защиту от несанкционированного доступа.
4.11.4. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), и личное дело передается в архив Оператора на хранение.
4.11.5. В отделе кадров Оператора кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
- трудовые книжки и (или) сведения о трудовой деятельности, за исключением случаев, если договор заключается впервые;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- пр. документы.
4.11.6. Персональные данные субъектов персональных данных также хранятся в электронных базах данных и в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные субъектов персональных данных, обеспечивается системой паролей. Пароли устанавливает Администратор персональных данных Оператора, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным субъектов персональных данных. Пароли изменяются не реже одного раза в 6 месяцев.
4.11.7. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
4.11.8. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) и в информационных системах персональных данных.
4.11.9. Персональные данные Посетителей/Покупателей сайта Интернет-магазина https://ladycollection.com/ хранятся в CMS-системе сайта и в системе 1С Оператора.
4.12. Актуализация, исправление, удаление и уничтожение персональных данных
4.12.1.В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения.
Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4.12.2. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор уничтожает такие персональные данные.
4.12.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
4.12.3.1. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий десяти рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
4.12.3.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона "О персональных данных".
4.12.4. После истечения срока нормативного хранения документов, которые содержат персональные данные субъекта персональных данных, документы подлежат уничтожению. Для этого Оператор создает экспертную комиссию и проводит экспертизу ценности документов.
4.12.4.1. Уничтожение документов/носителей, содержащих персональные данные, производится путем сожжения, измельчения, дробления. Для уничтожения бумажных документов допускается применение шредера. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя. Способ уничтожения персональных сведений Оператор выбирает самостоятельно.
4.12.4.2. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, составляемым в произвольной форме.
Если обработка персональных данных осуществляется с использованием компьютерной техники, то их уничтожение подтверждается помимо акта об уничтожении и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Уничтожение персональных сведений осуществляется на основании приказа или распоряжения руководителя Оператора.
4.13. Защита персональных данных
4.13.1. Оператор предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
4.13.2. Меры защиты, реализуемые Оператором при обработке персональных данных, включают:
1) принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
2) назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Оператора;
3) организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных у Оператора;
4) создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные, в том числе путем установки на персональные компьютеры, в которых содержаться персональные данные, защитных паролей доступа;
5) организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
6) хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
7) обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
8) обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
9) установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения мер по обеспечению безопасности персональных данных;
10) обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
11) использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;
12) осуществление внутреннего контроля за соблюдением Оператором законодательства РФ и локальных нормативных актов Оператора при обработке персональных данных.
14.13.3. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается путем:
а) определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
б) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
в) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
г) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
д) учета машинных носителей персональных данных;
е) обнаружения фактов несанкционированного доступа к персональным данным и принятием мер по прекращению несанкционированного доступа;
ж) восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
з) установления правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
4.13.4. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПРАВИЛ ОСУЩЕСТВЛЕНИЯ ОПЕРАЦИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
5.1. Ответственность за нарушение требований законодательства РФ и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством РФ.
5.1.1. Разглашение персональных данных субъектов персональных данных Оператора, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленным настоящим Положением, а также иными локальными нормативными актами Оператора, лицом, ответственным за получение, обработку и защиту персональных данных субъектов персональных данных, - влекут наложение на него дисциплинарного взыскания (выговора, увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ).
5.1.2. В случае причинения ущерба Оператору работник, имеющий доступ к персональным данным субъектов персональных данных и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 ТК РФ.
5.1.3. Работник Оператора, имеющий доступ к персональным данным субъектов персональных данных и незаконно использовавший или разгласивший указанную информацию без согласия субъектов персональных данных из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. ст. 137, 140, 272 УК РФ.
5.1.4. Руководитель Оператора за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.39, 13.11, 13.14 КоАП РФ, а также возмещает субъекту персональных данных ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом субъекте персональных данных.
5.2. Неправомерность деятельности Оператора по сбору и использованию персональных данных может быть установлена в судебном порядке.
6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
6.1. Работники Оператора должны быть ознакомлены под подписьс настоящим Положением и иными документами Оператора (при их наличии), устанавливающими порядок обработки персональных данных в ООО «МЕКО», а также об их правах и обязанностях в этой области.
6.2. Порядок ввода в действие и изменение настоящего Положения.
6.2.1. Настоящее Положение вступает в силу с момента его утверждения руководителем Оператора и действует бессрочно, до замены его новым Положением.
6.2.2.Все изменения в Положение вносятся соответствующим приказом руководителя Оператора.
Приложение 1 к Положению
Генеральному директору ООО «МЕКО»
Туран Аттиле
От ____________________________________
_______________________________________
Проживающего (ей) ______________________
_______________________________________
_______________________________________
Тел.:___________________________________
Паспорт: серия__________ № _____________
Дата выдачи____________________________
Кем выдан _____________________________
__________________ __________________
ФОРМА СОГЛАСИЯ
на обработку персональных данных
В соответствии с п.4 ст.9 Федерального Закона «О персональных данных» от 27.07.2006 года № 152-ФЗ, даю согласие на обработку моих персональных данных (Ф.И.О., пол; дата и место рождения; дактилоскопические данные; изображение (фотография, видеозапись); аудиозапись; паспортные данные; адреса регистрации по месту жительства и фактического проживания; номера телефонов: домашнего и мобильного; ИНН; СНИЛС; сведения о трудовом стаже, предыдущих местах работы, доходах на предыдущих местах работы; сведения об образовании, квалификации, профессиональной подготовке, о повышении квалификации; данные о регистрации брака; данные о семейном положении, наличии детей, составе семьи, необходимые для предоставления законодательно установленных льгот; отношение к воинской обязанности; сведения об инвалидности; сведения о событиях, связанных с моей трудовой деятельностью в ООО «МЕКО»; данные о моих доходах в ООО «МЕКО»; информация о моих деловых качествах), т.е. на совершение действий, предусмотренных Федеральным законом «О персональных данных» от 27.07.2006 года № 152-ФЗ.
Обработка данных должна осуществляться с целью:
Обеспечения соблюдения требований законодательства РФ;
Оформления и регулирования трудовых отношений;
Отражения информации в кадровых документах;
Начисления заработной платы;
Исчисления и уплаты налоговых платежей, предусмотренных законодательством РФ;
Представления законодательно установленной отчетности по физическим лицам в ИФНС и внебюджетные фонды;
Подачи сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы и иных выплат;
Предоставления налоговых вычетов;
Обеспечения безопасных условий труда;
Обеспечения сохранности имущества, принадлежащего работодателю;
Контроля требований к количеству и качеству выполняемой мной работы;
Формирования справочных материалов для внутреннего информационного обеспечения деятельности ООО «МЕКО»;
Обеспечения пропускного режима.
Предоставляю право осуществлять все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе трансграничную передачу), обезличивание, блокирование, уничтожение персональных данных в соответствии с целями обработки.
Я ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.
Настоящее соглашение вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
«______» _______________ 201__ года ________________ _________________
(подпись) Ф.И.О.
Приложение 2 к Положению
Форма обязательства о неразглашении персональных данных
Я, ____________________________________________________________________________, занимающий(ая) должность __________________________________________________________, предупрежден(а), что на период исполнения должностных обязанностей мне будет предоставлен допуск к персональным данным работников ООО «МЕКО» и во время исполнения своих обязанностей я буду осуществлять их обработку (в том числе сбор, запись, систематизацию, накопление, хранение, уточнение, использование и передачу).
Я понимаю, что разглашение такого рода информации может нанести прямой и (или) косвенный ущерб работникам ООО «МЕКО», а также ООО «МЕКО».
В связи с этим даю обязательство при обработке персональных данных работников ООО «МЕКО» строго соблюдать требования действующего законодательства, определяющего порядок обработки персональных данных, а также Положения персональных данных работников ООО «МЕКО».
Я подтверждаю, что за исключением случаев и (или) при отсутствии условий, предусмотренных действующим законодательством, не имею права:
1. Разглашать третьим лицам сведения о работниках ООО «МЕКО», относящиеся к категории их персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
2. Передавать и раскрывать третьим лицам сведения о работниках ООО «МЕКО», относящиеся к категории их персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
3. Использовать сведения о работниках ООО «МЕКО», относящиеся к категории их персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей с целью получения выгоды;
4. В течение года после прекращения права на допуск к сведениям о работниках ООО «МЕКО», относящимся к категории их персональных данных, разглашать и передавать третьим лицам известные мне сведениям о работниках ООО «МЕКО», относящимся к категории их персональных данных.
Я обязуюсь
- выполнять требования нормативных правовых актов, регламентирующих вопросы защиты конфиденциальных сведений.
- в случае попытки третьих лиц получить от меня сведения о работниках ООО «МЕКО», относящиеся к категории их персональных данных, сообщать непосредственному руководителю.
Я предупрежден(а) о том, что в случае нарушения мною требований действующего законодательства РФ и (или) Положения о персональных данных работников ООО «МЕКО», определяющих режим их обработки, в том числе в случае их незаконного разглашения или утраты, я несу ответственность в соответствии с действующим законодательством РФ, в частности ст. 90 ТК РФ.
С Положением о персональных данных работников ООО «МЕКО» и гарантиях их защиты ознакомлен(а).
_____________________ ________________ _________________
(должность) (подпись) (Ф.И.О.)
«______» ____________ 201__ года
Приложение 3 к Положению
Форма запроса/обращения субъекта персональных данных
(его представителя) об уточнении (обновлении, изменении) персональных данных
Генеральному
директору ООО «МЕКО»
Туран Аттиле
От ____________________________________
_______________________________________
Проживающего (ей) ______________________
_______________________________________
_______________________________________
Тел.:___________________________________
Паспорт: серия__________ № _____________
Дата выдачи____________________________
Кем выдан _____________________________
__________________ __________________
В соответствии с положениями ст. 21 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и на основании:
___________________________________________________________________________
(документ(ы) на основании которого(ых) Оператор обязан уточнить персональные данные)
прошу произвести уточнение (обновление, изменение) моих персональных данных либо обеспечить их уточнение (обновлении, изменении) (если обработка персональных данных осуществляется другим лицом, действующим по поручению ООО «МЕКО») согласно представленным документам.
Уведомление о внесенных изменениях прошу предоставить:
┌─┐
│ │ на бумажном носителе по адресу: _________________________________
└─┘
┌─┐
│ │ по адресу электронной почты: _____________________________
└─┘
______________________________ ___________________________
(дата) (подпись)
Приложение 4 к Положению
Генеральному директору
Общества с ограниченной ответственностью "МЕКО"
(ООО «МЕКО»)
Туран А.
Адрес: 109089 г. Москва, ул. Угрешская, д.2, стр.27
ОГРН 1077762139685, ИНН 7705816129
от ___________________________________________
паспорт: серия ________________________________
выдан _______________________________________
_____________________________________________
дата выдачи: __________________________________
код подразделения:____________________________
адрес регистрации:_____________________________
____________________________________________
адрес электронной почты________________________
тел.__________________________________________
Форма согласия на обработку персональных данных, разрешенных субъектом
персональных данных для распространения
Настоящим я, _____________________________________________________________, руководствуясь статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», заявляю о согласии на распространение ООО «МЕКО» моих персональных данных с целью ________________________________________________________________________________в следующем порядке:
|
Категория персональных данных |
Перечень персональных данных |
Разрешаю
к распространению |
Разрешаю к распространению неограниченному кругу лиц (да/нет) |
Условия и запреты |
Дополнительные условия |
|
Общие персональные данные |
Фамилия |
|
|
|
|
|
Имя |
|
|
|
|
|
|
Отчество |
|
|
|
|
|
|
Год рождения |
|
|
|
|
|
|
Месяц рождения |
|
|
|
|
|
|
Дата рождения |
|
|
|
|
|
|
Место рождения |
|
|
|
|
|
|
Адрес регистрации |
|
|
|
|
|
|
Адрес фактического проживания |
|
|
|
|
|
|
Семейное положение |
|
|
|
|
|
|
Образование |
|
|
|
|
|
|
Номера домашнего и мобильного телефонов |
|
|
|
|
|
|
ИНН |
|
|
|
|
|
|
СНИЛС |
|
|
|
|
|
|
Трудовой стаж |
|
|
|
|
|
|
Предыдущие места работы |
|
|
|
|
|
|
Доход на предыдущих местах работы |
|
|
|
|
|
|
Квалификация |
|
|
|
|
|
|
Профессиональная подготовка |
|
|
|
|
|
|
Повышение квалификации |
|
|
|
|
|
|
Наличие детей |
|
|
|
|
|
|
Состав семьи |
|
|
|
|
|
|
Отношение к воинской обязанности |
|
|
|
|
|
|
Сведения об инвалидности |
|
|
|
|
|
|
Информация о деловых качествах |
|
|
|
|
|
|
Данные о моих доходах в ООО «МЕКО» |
|
|
|
|
|
|
Сведения о событиях, связанных с моей трудовой деятельностью в ООО «МЕКО» |
|
|
|
|
|
|
Биометрические персональные данные |
Цветное цифровое фотографическое изображение лица |
|
|
|
|
|
Цветное цифровое видео изображение лица |
|
|
|
|
|
|
Дактилоскопические данные |
|
|
|
|
|
|
Голосовые данные |
|
|
|
|
Сведения об информационных ресурсах Оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных:
|
Информационный ресурс |
Действия с персональными данными |
|
Корпоративная почта |
|
|
Информационные стенды |
|
Настоящее согласие дано мной добровольно и действует со дня его подписания до отзыва в установленном законом порядке.
Оставляю за собой право потребовать прекратить распространять мои персональные данные. В случае получения требования Оператор обязан немедленно прекратить распространять мои персональные данные, а также сообщить перечень третьих лиц, которым персональные данные были переданы.
|
«___» _______________ 202__ года |
|
____________________ (ФИО) |