1. Общие положения
1.1. Положение об обработке персональных данных (далее - Положение) издано и применяется в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Настоящее положение разработано в целях:
• регламентации порядка осуществления операций с персональными данными сотрудников предприятия;
• обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
• ведения предпринимательской деятельности оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
• обеспечения требований закона № 152-ФЗ и иных правовых актов, регулирующих использование персональных данных.
1.3. Обработка организована оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности оператора;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
1.4. Способы обработки персональных данных:
- с использованием средств автоматизации; - без использования средств автоматизации.
1.5. Категории персональных данных. В информационных системах оператора осуществляется обработка следующих категорий персональных данных: персональные данные.
1.6. Ограничение несанкционированного доступа к персональным данным обеспечивается и снимается в момент их обезличивания.
1.7. Основным инфраструктурным ресурсом для осуществления операций с персональными данными являются информационные системы, представляющие собой:
комплексы автоматизированной обработки персональных данных.
2. Критерии отнесения информации о работниках к персональным данным
2.1. Настоящее положение устанавливает, что к персональным данным работника относятся любая информация о нем, в том числе Ф. И. О., дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов.
2.2. Достоверность персональных данных определяется исходя из их изначального размещения в таких документах как:
• паспорт или иной источник, удостоверяющий личность работника;
• трудовая книжка;
• свидетельство пенсионного страхования;
• военный билет и иные документы воинского учета;
• диплом об образовании;
• свидетельство о присвоении ИНН.
2.3. Источником информации обо всех персональных данных является непосредственно сам субъект персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Оператор обязан сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
2.4. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.
2.5. Оператор не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
2.6. Обработка персональных данных субъекта персональных данных оператором возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством РФ.
2.7. При передаче персональных данных субъекта персональных данных оператор должен соблюдать следующие требования:
• Не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных Трудовым
кодексом РФ или иными федеральными законами.
• Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
• Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное правило не распространяется на обмен персональными данными субъекта персональных данных в порядке, установленном Трудовым
кодексом РФ и иными федеральными законами.
• Осуществлять передачу персональных данных субъекта персональных данных в пределах компании в соответствии с настоящим Положением, с которым работники должны быть ознакомлены под подпись.
• Разрешать доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
• Не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
• Передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым
кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
3. Операции с персональными данными
3.1. Настоящее положение устанавливает, что оператор осуществляет следующие операции с персональными данными:
• получение;
• обработка;
• передача;
• блокирование; хранение; ликвидация.
3.2. Под получением персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах;
3.2. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом
3.3. Под передачей персональных данных понимается операция:
• по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют сотрудники либо третьи лица;
• по размещению персональных данных в источниках внутрикорпоративного
документооборота;
• по опубликованию в интересах предприятия персональных данных о работнике в СМИ или на серверах интернета в соответствии с нормами законодательства.
3.4. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах предприятия, в случаях, предусмотренных положениями локальных правовых актов и законодательства РФ.
3.5. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах
3.6. Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем, а также обеспечению невозможности их восстановления.
3.7.
Цель обработ ки персона льных данных Категория персональны х данных Перечень персональных данных Категории субъектов персональ ных данных Способ обработки персональны х данных Срок обработки персональных данных Трудоуст ройство граждан Персональны е данные ФИО Дата рождения Место рождения Адрес проживания Пол Семейное положение Социальное положение Образование Профессия Доходы Физически е лица, желающие трудоустро иться к оператору, работники Смешанный с передачей по внутренней сети оператора, с передачей по сети Интернет С момента предоставления согласия на обработку до момента отзыва такого согласия (истечения срока, установленного законодательством) Номер телефона Использ ование официаль ного приложе ния магазино в Персональны е данные ФИО Электронная почта Дата рождения Пол Номер телефона Физически е лица – потенциал ьные покупател и магазинов Смешанный с передачей по внутренней сети оператора, с передачей по сети Интернет С момента предоставления согласия на обработку до момента отзыва такого согласия (истечения срока, установленного законодательством). 3.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Порядок уничтожения персональных данных
4.1. Уничтожение персональных данных производится в случаях:
• выявление неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
• требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки;
• отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
• достижения цели обработки персональных данных или утраты необходимости в достижении
этих целей;
• истечения сроков хранения персональных данных, установленных нормативно-правовыми актами Российской Федерации;
• признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных; в иных установленных законодательством случаях.
4.2. Для выявления случаев, указанных в п. 4.1. Положения, назначается ответственное лицо, которое отслеживает работу с персональными данными, выявляет случаи, когда необходимо уничтожить данные, обрабатывает запросы от сотрудников организации, государственных органов и субъектов персональных данных по поводу уничтожения персональных данных.
4.3. Уничтожение персональных данных может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
- физическое уничтожение носителя (уничтожение через шредерование, сжигание);
- уничтожение информации с носителя (многократная перезапись в секторах магнитного диска). 4.4. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
4.5. Лицо, указанное в п. 4.2 настоящего Положения, уведомляет лицо, обратившееся с запросом об уничтожении персональных данных, об уничтожении персональных данных.
5. Процедуры, направленные на предотвращение и выявление нарушений законодательстваРоссийской Федерации
5.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.2. Обеспечение безопасности персональных данных достигается, в частности:
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.3. В случае выявления нарушений действующего законодательства в отношении обработки персональных данных, либо нарушения закрепленных настоящим Положением условий обработки персональных данных оператором, устранение последствий таких нарушений осуществляется ответственным должностным лицом в зависимости от конкретной ситаации.
6. Обязанности сотрудников, имеющих доступ к персональным данным
6.1. Сотрудники другие лица, имеющие доступ к персональным данным, обязаны:
• осуществлять операции с персональными данными при соблюдении норм, установленных настоящим положением, а также федеральных, региональных и муниципальных НПА;
• информировать своего непосредственного руководителя о нештатных ситуациях, связанных с операциями с персональными данными;
• обеспечивать конфиденциальность операций с персональными данными;
• обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.
7. Ответственность сотрудников за нарушения правил осуществления операций с персональными данными 7.1. Сотрудники при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим положением, а также нормами федерального, регионального и муниципального законодательства РФ.
7.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм, а также положений законодательства РФ.