Общие положения
Настоящее Положение определяет порядок обработки и защиты персональных данных в ООО «Адвентипро» с целью обеспечения защиты прав и свобод физических лиц при обработке их персональных данных, а также установления ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований законодательства и локальных актов в области персональных данных.
Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Настоящее Положение является обязательным для исполнения всеми работниками ООО «Адвентипро», которые имеют или могут получить доступ к персональным данным в связи с исполнением служебных обязанностей.
Персональные данные относятся к категории конфиденциальной информации и должны быть защищены от несанкционированного, в том числе случайного, доступа к ним.
Режим конфиденциальности персональных данных снимается в случаях их обезличивания, по истечении срока их хранения, либо продлевается на основании заключения комиссии ООО «Адвентипро», если иное не предусмотрено законодательством.
- Основные понятия в области персональных данных
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, в том числе:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес регистрации, место проживания;
- семейное, социальное, имущественное положение;
- образование, профессия, доходы;
- любая другая информация.
Перечень персональных данных, обрабатываемых в ООО «Адвентипро», утверждается отдельным внутренним актом.
Также в настоящем Положении используются следующие понятия:
Оператор персональных данных – юридическое лицо самостоятельно или совместно с третьими лицами организующие и осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и действия с ними;
Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются оператором персональных данных.
Обработка персональных данных – любое действие, совершаемое с персональными данными, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Сбор персональных данных
Персональные данные следует получать непосредственно у самого субъекта персональных данных. Если предоставление персональных данных является обязательным в соответствии с законодательством, субъекту персональных данных должны быть разъяснены юридические последствия отказа в предоставлении таких данных.
Получение персональных данных у третьей стороны возможно только при наличии законных оснований. При получении персональных данных у третьей стороны, за исключением случаев, когда персональные данные получены в рамках поручения на обработку персональных данных, необходимо уведомить об этом субъекта. В этом случае субъекту персональных данных сообщаются сведения о цели обработки его персональных данных, правовое основание обработки, права субъекта, предполагаемые пользователи персональных данных, а также источник их получения.
Допускается сбор персональных данных из общедоступных источников или в случае, когда персональные данные сделаны общедоступными субъектом либо по его просьбе. В этом случае получение согласия на обработку персональных данных и уведомление субъекта не требуется.
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Получение и обработка персональных данных физического лица о его политических, религиозных убеждениях и частной жизни не допускается. В случаях, когда обработка таких сведений необходима в связи с исполнением договорных обязательств, они могут быть получены и обработаны только с письменного согласия самого физического лица или его законного представителя.
- Обработка персональных данных
Обработка персональных данных возможна в следующих случаях:
- получено согласие субъекта на обработку его персональных данных;
- обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (общедоступные персональные данные);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством.
Обработка персональных данных может осуществляться исключительно в целях соблюдения законов и нормативных правовых актов Российской Федерации, заключения договоров и исполнения договорных обязательств.
Обработку персональных данных могут осуществлять только работники оператора, допущенные руководством в установленном порядке. Лица, получившие доступ к персональным данным, должны быть предупреждены о факте обработки ими таких данных.
Оператор вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан.
- Хранение персональных данных
Персональные данные хранятся в пределах установленных помещений на материальных (бумажных) носителях или в электронном виде (в информационных системах персональных данных, на машинных носителях). Машинные носители информации (диски, дискеты, флеш-накопители) должны быть учтены в соответствии с Инструкцией по учету машинных носителей персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством либо договором, стороной которого является субъект персональных данных.
Хранение персональных данных должно осуществляться с учетом обеспечения режима их конфиденциальности.
Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
- Передача персональных данных
Передача персональных данных третьему лицу возможна только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством.
Не допускается сообщать персональные данные третьему лицу без письменного согласия соответствующего субъекта, за исключением случаев, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных.
Запрещено сообщать персональные данные третьему лицу в коммерческих целях без письменного согласия соответствующего субъекта. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации возможна только при условии предварительного согласия на это субъекта.
- Доступ к персональным данным
Право доступа к персональным данным, обрабатываемым в ООО «Адвентипро», имеют:
- Генеральный директор ООО «Адвентипро»;
- другие работники ООО «Адвентипро», для которых обработка персональных данных необходима в связи с исполнением их должностных обязанностей. Допуск работников к персональным данным осуществляется руководством в установленном порядке.
Любой субъект, персональные данные которого обрабатываются в ООО «Адвентипро», имеет право доступа к своим персональным данным, в том числе к следующей информации:
- подтверждение факта обработки его персональных данных;
- правовые основания и цели обработки его персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным (за исключением работников оператора) или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства;
- перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
- сроки обработки персональных данных и сроки их хранения;
- порядок осуществления субъектом прав, предусмотренных законодательством;
- наименование лица, осуществляющего обработку персональных данных по поручению оператора, в случае если обработка поручена третьему лицу.
- Защита персональных данных
При обработке персональных данных принимаются необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В целях обеспечения безопасности персональных данных в ООО «Адвентипро» осуществляются следующие мероприятия:
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, которые обеспечивают выполнение требований к установленным уровням защищенности;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и реагирование на данные инциденты;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
- регистрация и учет действий, совершаемых с персональными данными в информационных системах персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных в соответствии с установленным уровнем защищенности персональных данных.
- Обработка персональных данных работника и гарантии их защиты
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
- все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
- работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами;
- работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
- при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
- защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;
- работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
- работники не должны отказываться от своих прав на сохранение и защиту тайны;
- работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Порядок хранения и использования персональных данных работников установлен работодателем настоящим положением с соблюдением требований Трудового кодекса и иных федеральных законов.
Передача персональных данных работников
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;
- передача персональных данных работника в пределах ООО «Адвентипро», осуществляется в соответствии с настоящим Положением, с которым работники должны быть ознакомлены под роспись;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
- полную информацию об их персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
- Ответственность
За нарушение требований, установленных законодательством Российской Федерации, настоящим Положением и другими локальными актами ООО «Адвентипро», работники и иные лица, получившие доступ к персональным данным несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами Российской Федерации.
- Заключительные положения
Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно. Изменения в Положение вносятся отдельными актами ООО «Адвентипро».
Если законодательством Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Положением, применяются правила, предусмотренные законодательством.