Политика защиты и обработки персональных данных
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общие положения
1.1. Настоящая Политика Общества с ограниченной ответственностью «Управляющая компания «Белый парус» (ООО «УК «Белый парус») в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях защиты персональных данных от несанкционированного доступа, разглашения и распространения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает ООО «УК «Белый парус».
1.3. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми ООО «УК «Белый парус» осуществляет обработку персональных данных, в том числе: Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации».
1.4. Настоящая Политика и изменения к ней утверждаются руководителем ООО «УК «Белый парус» и вводятся в действие приказом.
1.5. С настоящей Политикой, а также со всеми изменениями к ней, все работники ООО «УК «Белый парус» должны быть ознакомлены под роспись. При приеме на работу ознакомление производится до момента подписания трудового договора.
1.6. Настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на веб-сайте ООО «УК «Белый парус».
- Основные понятия.
2.1. Для целей настоящей Политики используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных);
- персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных";
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее в настоящей Политике ООО «УК «Белый парус» будет поименовано как Оператор);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на передачу персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе Оператора и (или) в результате которых уничтожаются материальные носители персональных данных работников;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному физическому лицу;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу ООО «УК «Белый парус»;
- Пользователь – любой посетитель веб-сайта ООО «УК «Белый парус».
- Цели обработки персональных данных
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.
3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.3. Обработка персональных данных осуществляется Оператором в следующих целях:
3.3.1. для осуществления деятельности в соответствии с Уставом, в том числе в целях заключения и исполнения договоров с контрагентами, клиентами;
3.3.2. для исполнения норм трудового законодательства в рамках оформления трудовых и иных непосредственно связанных с ними отношений, в том числе:
- при содействии в трудоустройстве;
- ведении кадрового и бухгалтерского учета;
-содействии работникам в получении образования, повышении квалификации и продвижении по службе;
- оформлении награждений и поощрений;
- предоставлении со стороны Оператора установленных законодательством условий труда, гарантий и компенсаций;
- с целью обеспечения исполнения обязательных требований охраны труда;
- заполнении и передаче в уполномоченные органы требуемых форм отчетности;
- обеспечении личной безопасности работников, сохранности имущества;
- осуществлении контроля за количеством и качеством выполняемой работы.
3.3.3. для осуществления пропускного режима;
3.3.4. для предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте ООО «УК «Белый парус».
- Категории субъектов персональных данных,
категории обрабатываемых персональных данных и способы их обработки.
4.1. В соответствии с Политикой Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных (далее-субъекты персональных данных):
- кандидаты для приема на работу;
- работники;
- бывшие работники;
- члены семей работников - в случаях, когда согласно законодательству сведения о них предоставляются работником;
- клиенты;
- контрагенты;
- пользователи веб-сайта;
- иные лица, персональные данные которых Оператор обязан обрабатывать в соответствии с законодательством.
4.2. В соответствии с целями, указанными в разделе 3 настоящей Политики, Оператор обрабатывает следующие категории персональных данных:
4.2.1. Общие персональные данные
- фамилия, имя, отчество;
- возраст и пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- регистрационный номер в системе индивидуального (персонифицированного) учета пенсионного страхования;
- идентификационный номер налогоплательщика (ИНН);
- адрес проживания (регистрации);
- сведения о семейном положении и составе семьи, которые могут понадобиться для предоставления льгот, предусмотренных трудовым, налоговым законодательством и локальными нормативными актами работодателя;
- сведения об образовании;
- профессия, специальность, занимаемая должность;
- сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения об имущественном положении, доходах, задолженностях;
- сведения о социальных льготах;
- адрес личной электронной почты;
- номера телефонов (домашний и мобильный);
- деловые и иные личные качества, которые носят оценочный характер.
4.2.2. Специальные категории персональных данных
- сведения о состоянии здоровья (для отдельных категорий работников) на предмет годности к осуществлению трудовых обязанностей в случаях, предусмотренных законодательством;
- сведения об отсутствии/наличии судимостей в случаях, предусмотренных законодательством.
4.2.3. Биометрические персональные данные
- фото- и видео-изображение лица;
- голос;
- антропометрические данные (рост, размер одежды, обуви, головного убора).
4.3.4. Иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует целям обработки, предусмотренным в разделе 3 настоящей Политики.
4.4.5. Иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует целям, предусмотренным в разделе 3 настоящей Политики.
4.5. Документы, в которых содержатся персональные данные:
- комплекс документов, сопровождающих ведение кадрового делопроизводства и бухгалтерского учета;
- материалы по анкетированию, тестированию, проведению собеседований с кандидатами на вакантные должности;
- справки о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
- трудовые книжки, сведения о трудовой деятельности (СТД-Р,СТД-СФР);
- дела, содержащие материалы по аттестации работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- отчетные, аналитические и справочные материалы, передаваемые руководству Оператора, руководителям структурных подразделений;
- отчеты, направляемые в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- договоры с контрагентами и клиентами;
- документы про расчетам с клиентами (квитанции);
- формы обратной связи, заполняемые пользователями веб-сайта;
- прочие документы, содержащие персональные данные.
4.6. Обработка персональных данных осуществляется Оператором следующими способами:
- без использования средств автоматизации;
- с использованием средств автоматизированной обработки данных (специализированные программы, офисная оргтехника и пр.) с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
- Обязанности Оператора
В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных субъектов, указанных в разделе 4 Политики, обязаны соблюдать следующие общие требования и обязанности:
5.1. Обработка персональных данных осуществляется Оператором исключительно в целях, определенных разделом 3 настоящей Политики.
5.2. При определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными федеральными законами.
5.3. Персональные данные Оператор получает непосредственно от субъекта персональных данных (работника или его представителя, контрагента, клиента). Оператор проверяет достоверность сведений, сверяя данные, представленные работником (его представителями), кандидатами на работу, контрагентами, клиентами с имеющимися у субъекта документами.
5.4. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном действующим законодательством.
5.5. Работники Оператора должны быть ознакомлены под роспись документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.6. Оператор осуществляет обработку персональных данных в пределах ООО «УК «Белый парус» в соответствии с настоящей Политикой, руководствуясь действующими нормативными правовыми актами в области защиты персональных данных.
5.7. Оператор вырабатывает меры защиты персональных данных, в том числе с участием работников и их представителей.
5.8. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных.
5.9. Оператор не имеет права:
- осуществлять обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ;
- получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
- при принятии решений, затрагивающих интересы субъекта персональных данных, основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
- Права и обязанности работников Оператора
6.1. В рамках действующего законодательства по защите персональных данных работники Оператора имеют право на:
- получение полной информации об их персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе Оператора исключить или исправить персональные данные работника он имеет право в письменной форме заявить Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суде любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных;
- подачу письменного или в форме электронного документа согласия на обработку персональных данных, а также отзыв данного согласия в любой момент времени основании письменного заявления;
- подачу письменного или в форме электронного документа согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц;
- предоставление Оператору в любое время требования о прекращении передачи (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения;
- участие в работе по выработке совместно с Оператором мер защиты персональных данных.
6.2. Работник обязан:
- предоставлять Оператору (работодателю) достоверные персональные данные, необходимые для целей, указанных в разделе 3 Политики;
- при изменении персональных данных уведомлять Оператора об этом не позднее 14 календарных дней с момента изменений.
- Основные принципы обработки персональных данных работников Оператора
7.1. Обработка Оператором персональных данных работника возможна только с его письменного согласия работника (форма Согласия в Приложении №1). Исключение составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, п. п. 2.1 - 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ).
Обработка персональных данных соискателей на вакантные должности осуществляется с их письменного согласия, выражаемого в анкете.
7.2. Если персональные данные работника возможно получить только у третьей стороны, то он должен быть заранее в письменной форме уведомлен Оператором об этом (форма уведомления в Приложении № 2) и от него должно быть получено письменное согласие (форма согласия в Приложении № 3). Оператор обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
7.3. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения:
7.3.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.3.2. Согласие работника на обработку персональных данных, разрешенных им для распространения, оформляется отдельно от иных согласий работника на обработку его персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
Оператор обязан обеспечить работнику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
7.3.3. В случае, если из предоставленного работником согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что работник согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
7.3.4. В случае, если из предоставленного работником согласия на обработку персональных данных, разрешенных им для распространения, не следует, что работник не установил запреты и условия на обработку персональных данных, или если в предоставленном работником согласии не указаны категории и перечень персональных данных, для обработки которых он устанавливает условия и запреты, то такие персональные данные обрабатываются Оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
7.3.5. Молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных им для распространения.
7.3.6. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.
7.3.7. Передача (распространение, предоставление, доступ) персональных данных, разрешенных работником для распространения, должна быть прекращена в любое время по письменному требованию работника. Данное требование должно включать следующие сведения о работнике: фамилию, имя, отчество, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором. Действие согласия работника на обработку персональных данных, разрешенных им для распространения, прекращается с момента поступления соответствующего требования Оператору.
7.4. Персональные данные работника не сообщаются третьей стороне без предварительного письменного согласия работника (форма Согласия в Приложении № 4), за исключением случаев, когда это сообщение необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.5. Оператор обязан предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие доступ к персональным данным работника, обязаны соблюдать режим секретности (конфиденциальности).
7.6. Оператор (работодатель) передает персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
- 8. Доступ к персональным данным
8.1. Оператор разрешает доступ к персональным данным только специально уполномоченным должностным лицам. При этом лица, получившие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
8.2. Право доступа к персональным данным имеют следующие должностные лица:
- директор;
- главный бухгалтер;
- менеджер по персоналу (специалист по кадрам)
- юрисконсульт (в части тех сведений, которые необходимы им для выполнения конкретных функций);
8.3. Доступ иных должностных лиц к персональным данным осуществляется на основании письменного разрешения Оператора.
8.4. Должностные лица Оператора, получившие доступ к персональным данным согласно п. 6.2. Политики, обязаны подписать Обязательство о неразглашении персональных данных (форма Обязательства в Приложении №5).
8.5. Работникам Оператора может предоставляться доступ к персональным данным иных работников (к информации, содержащейся в унифицированных и иных групповых документах по личному составу, листах ознакомления и пр.) при ознакомлении с приказами и с локальными нормативными документами.
8.6. Внешний доступ к персональным данным
8.6.1. К числу массовых потребителей персональных данных вне Оператора можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды.
8.6.2. Надзорно-контрольные органы имеют доступ к персональным данным только в объеме своей компетенции.
8.6.3. Организации, в которые Оператор по просьбе субъектов (работников) осуществляет перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные Общества, кредитные Общества), могут получить доступ к персональным данным только в случае письменного согласия субъекта.
8.6.4. Персональные данные могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта.
- Защита персональных данных
9.1. Оператор при обработке персональных принимает необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Для обеспечения внутренней защиты персональных данных Оператором соблюдаются следующие меры:
9.2.1. Без письменного согласия работника Оператор не имеет права раскрывать (передавать) третьим лицам и распространять персональные данные, если иное не предусмотрено законодательством о персональных данных.
! Запрещено раскрытие и распространение персональных данных по телефону.
9.2.2. Назначается работник, ответственный за организацию обработки персональных данных который обязан:
- осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников нормы и требования законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
9.2.3. С целью защиты персональных данных у Оператора утверждается:
- перечень уполномоченных лиц, имеющих доступ к персональным данным, и форма обязательства о неразглашении конфиденциальной информации;
- порядок передачи персональных данных;
- форма согласия на обработку персональных данных,
- форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- форма согласия работника на передачу персональных данных третьему лицу;
- форма согласия работника на получение Оператором персональных данных от третьего лица;
- порядок защиты персональных данных при их обработке в информационных системах персональных данных;
- порядок уничтожения персональных данных;
- иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
9.2.4 Документы, содержащие персональные данные, хранятся в местах, защищенных от несанкционированного доступа в течение сроков хранения, предусмотренных законодательством об архивном деле в РФ.
Трудовые книжки и вкладыши к ним, книга учета движения трудовых книжек и вкладышей к ним хранятся у Оператора в несгораемом шкафу.
Доступ к персональной информации, содержащейся в информационных системах Оператора, осуществляется по индивидуальным паролям.
9.2.5. Оператором используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.2.6. Оператором проводятся внутренние расследования при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных.
9.2.7. Оператором осуществляется внутренний контроль за организацией работы с персональными данными.
9.3. Внешняя защита персональных данных обеспечивается Оператором посредством применения:
- порядка приема, учета и контроля деятельности посетителей;
- пропускного режим Оператора;
- технических средств охраны и сигнализации;
- отдельных помещений для защиты информации при интервьюировании, собеседованиях и проведении совещаний.
- Сроки обработки и хранения персональных данных
10.1. Срок обработки персональных данных определяется с учетом цели их обработки.
10.2. Оператор обязан прекратить или обеспечить прекращение обработки персональных данных, а в дальнейшем уничтожить или обеспечить их уничтожение в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных (в течение трех рабочих дней с даты выявления такого факта);
- при достижении целей обработки персональных данных (в течении тридцати дней);
- по истечении срока действия или при отзыве работником согласия на обработку его персональных данных, если в соответствии с законодательством о персональных данных их обработка допускается только с согласия (в течении тридцати дней);
- при обращении работника к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
10.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством.
10.4. Документы на бумажных носителях хранятся у Оператора до момента прекращения их обработки в соответствии с п.10.2. Политики, далее подлежат уничтожению или длительному хранению.
После окончания срока обработки, документы, оформленные на бумажных носителях и содержащие персональные данные работников Поручителя передаются Поручителю для уничтожения или длительного хранения.
Срок хранения документации, содержащей персональные данные, определяется согласно законодательству об архивном деле в РФ.
- Порядок уничтожения персональных данных
11.1. Оператор уничтожает персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
11.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются Оператором либо обезличиваются.
11.3. Персональные данные уничтожаются в течение 30 дней с даты достижения цели их обработки или поступления от работника отзыва согласия на обработку его персональных данных.
11.4. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
11.5. Уничтожение персональных данных осуществляет с привлечением комиссии, созданной приказом руководителя Оператора:
11.5.1. Комиссия составляет перечень документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
11.5.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
11.5.3. Комиссия подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 № 179, а именно:
- актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
- актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
11.5.4. Акты об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных хранятся у Оператора в течение трех лет с момента уничтожения персональных данных.
11.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, установленного законодательством, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
- Ответственность за нарушение норм, регулирующих
обработку персональных данных
12.1. Персональная ответственность – одно из главных требований функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
12.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о персональных данных субъектов, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
12.3. Руководитель, разрешающий доступ к персональным данным, несет персональную ответственность за данное разрешение.
12.4. Каждый сотрудник Оператора, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
12.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
12.6. За неисполнение или ненадлежащее исполнение работником Оператора по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Оператор (как работодатель) вправе применять предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.
12.7. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
12.8. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
12.9. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных законодательством о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Разработал: __________________________________________________________________
(должность, ФИО, расшифровка)
Приложение № 1
к «Политике в отношении обработки персональных данных»,
утвержденной «01» июня 2023 г.
Согласие работника на обработку персональных данных
(форма)
Я, _______________________________________________________________________________________________________________________,
зарегистрированный (ая) по адресу: __________________________________________________________________________________________
_________________________________________________________________________________________________________________________,
паспортные данные:________________________________________________________________________________________________________
__________________________________________________________________________________________________________________________.
в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» с целью исполнения норм трудового законодательства в рамках оформления трудовых и иных непосредственно связанных с ними отношений, в том числе:
- содействия при трудоустройстве;
- ведения кадрового и бухгалтерского учета;
- содействия в получении образования, повышении квалификации и продвижении по службе;
- оформления награждений и поощрений;
- предоставления со стороны работодателя установленных законодательством условий труда, гарантий и компенсаций;
- с целью обеспечения исполнения обязательных требований охраны труда;
- заполнения и передачи в уполномоченные органы требуемых форм отчетности;
- обеспечения личной безопасности и сохранности имущества;
- осуществления контроля за количеством и качеством выполняемой работы,
даю согласие Обществу с ограниченной ответственностью «УК «Белый парус», находящемуся по адресу: г. Владимир, ул. Ново- Ямская, д. 5, оф. 2,3 на автоматизированную и без использования средств автоматизации обработку моих персональных данных, а именно на сбор, запись, систематизацию, хранение, накопление, использование, передачу (предоставление, доступ), уточнение, извлечение, обезличивание, блокирование, удаление, уничтожение.
Перечень моих персональных данных, на обработку которых я даю согласие:
- фамилия, имя, отчество;
- возраст и пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- регистрационный номер в системе индивидуального (персонифицированного) учета пенсионного страхования;
- идентификационный номер налогоплательщика (ИНН);
- адрес проживания (регистрации);
- сведения о семейном положении и составе семьи, которые могут понадобиться для предоставления льгот, предусмотренных трудовым, налоговым законодательством и локальными нормативными актами работодателя;
- сведения об образовании;
- профессия, специальность, занимаемая должность;
- сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения об имущественном положении, доходах, задолженностях;
- сведения о социальных льготах;
- адрес личной электронной почты;
- номера телефонов (домашний и мобильный);
- деловые и иные личные качества, которые носят оценочный характер.
- сведения о состоянии здоровья на предмет годности к осуществлению трудовых обязанностей в случаях, предусмотренных законодательством РФ;
- сведения об отсутствии/наличии судимостей в случаях, предусмотренных законодательством РФ;
- фото- и видео-изображение лица, голос;
- антропометрические данные (рост, размер одежды, обуви, головного убора).
- иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует целям обработки, указанным в данном согласии.
Обработка моих персональных данных в иных целях, не указанных в настоящем согласии, производится только по моему письменному согласию (кроме случаев, предусмотренных законодательством РФ).
Распространение моих персональных данных для доступа неограниченному кругу лиц осуществляется только на основании моего письменного согласия, оформленного отдельно от настоящего согласия.
Передача моих персональных данных третьим лицам, допускается только по моему дополнительному письменному согласию, также как и получение моих персональных данных от третьих лиц (кроме случаев, предусмотренных действующим законодательством РФ).
Я уведомлен(а) о праве на досрочный отзыв настоящего согласия (полностью или частично) в любой момент времени по моему усмотрению на основании заявления. При этом я в полной мере осознаю, что отзыв настоящего согласия означает невозможность достижения целей обработки и передачи персональных данных в случае, когда наличие согласия является обязательным в соответствии с действующим законодательством РФ.
Я ознакомлен(а) с «Политикой в отношении обработки персональных данных ООО «УК «Белый парус». Права и обязанности в области защиты персональных данных мне разъяснены.
Я подтверждаю, что, давая настоящее согласие, я действую по собственной воле и в своих интересах.
Настоящее согласие действует со дня его подписания в период действия трудового договора и после его прекращения – в течение срока хранения документов, содержащих мои персональные данные, установленного действующим законодательством Российской Федерации об архивной деятельности.
________________ ____________________________________ ___________________
подпись расшифровка дата
Приложение № 2
к «Политике в отношении обработки персональных данных»,
утвержденной «01» июня 2023 г.
Форма уведомления работника
о получении персональных данных от третьих лиц
ООО «УК «Белый парус»
Уведомление о получении персональных данных от третьих лиц
«___» ________ 20__г. № ________ г._________________
|
____________________ (должность, ФИО работника)
|
Уважаемый (ая) ________________!
Уведомляем Вас о том, что для ____________________________ (указать цель запроса) ООО «________________________» запросит ваши персональные данные _________________ (уточнить какие персональные данные) от третьих лиц, а именно от _______________ (указать куда будет запрос). Сведения будут запрашиваться в письменной форме при помощи средств почтовой связи (или указать иной способ). Просим Вас дать согласие на получение персональных данных от третьих лиц (п.3 ст.86 ТК РФ).
______________________ ______________________ ____________________
должность руководителя подпись расшифровка
С уведомлением ознакомлен(а):
________________ ___________________ ___________________
подпись расшифровка дата
Приложение № 3
к «Политике в отношении обработки персональных данных»,
утвержденной «01» июня 2023 г.
Директору
ООО «УК «Белый парус»
_______________________________
ФИО руководителя
от ___________________________
(фио работника)
зарегистрированного по адресу:
_________________________________
_________________________________
паспортные данные:
_______________________________
_______________________________
СОГЛАСИЕ
на получение персональных данных от третьих лиц
(форма)
Я, __________________________________________, в соответствии со статьей 9 Федерального
(ф.и.о. работника)
закона от 27.07.06г. № 152-ФЗ «О персональных данных» даю согласие ООО «_________________________», расположенному по адресу: ______________________________, на получение моих персональных данных о __________________ (указать каких) от третьих лиц.
________________ ___________________ ___________________
подпись расшифровка дата
Приложение № 4
к «Политике в отношении обработки персональных данных»,
утвержденной «01» июня 2023 г.
Директору
ООО «УК «Белый парус»
__________________________
ФИО руководителя
от _______________________
(фио работника)
Согласие
на передачу персональных данных третьей стороне
(форма)
Я, _______________________________________________________________________________,
ФИО полностью
паспортные данные: ________________________________________________________________
__________________________________________________________________________________зарегистрированный (ая) по адресу:____________________________________________________
__________________________________________________________________________________,
в соответствии со ст. 88 ТК РФ и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» заявляю о своем согласие на предоставление в ____________________________________________ (указать куда передаются персональные данные) для ______________________________________________________ (указать цель передачи) следующих моих персональных данных:
- _____________________;
- _____________________;
-______________________.
________________ ___________________ ___________________
подпись расшифровка дата
Приложение № 5
к «Политике в отношении обработки персональных данных»,
утвержденной «01» июня 2023 г.
ОБЯЗАТЕЛЬСТВО
о неразглашении конфиденциальной информации (персональных данных),
не содержащих сведений, составляющих государственную тайну
(форма)
Я,________________________________________________________________________________
фамилия, имя, отчество
находясь в должности ______________________________________________________________
и получая доступ к персональным данным субъектов, которые, обрабатывает ООО «УК «Белый парус» ознакомлен(а), что на период исполнения должностных обязанностей в соответствии с должностной инструкцией, мне будет предоставлен допуск к конфиденциальной информации (персональным данным), не содержащим сведений, составляющих государственную тайну, и я буду заниматься обработкой персональных данных.
Я понимаю, что разглашение такого рода информации может нанести как прямой, так и косвенный ущерб субъектам персональных данных.
В связи с этим даю обязательство при работе с персональными данными соблюдать требования «Политики в отношении обработки персональных данных ООО «УК «Белый парус». А также добровольно принимаю на себя обязательства:
- Не разглашать третьим лицам конфиденциальные сведения, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.
- Не передавать и не раскрывать третьим лицам конфиденциальные сведения, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.
- При составлении документов, включающих персональные данные, ограничиваться минимальными, действительно необходимыми в документе сведениями; определять количество экземпляров документов в строгом соответствии с действительной служебной необходимостью и не допускать рассылки их адресатам, к которым они не имеют отношения.
- Документы, содержащие персональные данные, во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным сведениям, но не имеющим к ним прямого отношения.
- В случае попытки третьих лиц получить от меня конфиденциальные сведения, а также об утрате или недостачи документов, содержащих персональные данные, немедленно сообщить непосредственному руководителю.
- Не использовать конфиденциальные сведения с целью получения выгоды.
- Выполнять требования приказов, инструкций и положений по обеспечению сохранности персональных данных и иных нормативных правовых актов, регламентирующих вопросы защиты конфиденциальных сведений.
- После прекращения моего права на допуск к конфиденциальным сведениям не разглашать и не передавать третьим лицам известные мне конфиденциальные сведения.
- В случае моего увольнения все персональные данные (на бумажных и электронных носителях), которые находились в моем распоряжении в связи с выполнением должностных обязанностей, передать непосредственному руководителю.
Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового Кодекса РФ, ст. 24. Федерального Закона РФ «О персональных данных».
________________ ___________________ ___________________
подпись расшифровка дата