ПОЛИТИКА
обработки персональных данных
в ООО «СТОМО»
г. Череповец 27.11.2017 г.
1. ВВЕДЕНИЕ
1.1. Настоящая Политика разработана в соответствии с требованиями ТК РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в ООО «СТОМО» (далее - Общество) персональных данных, действия и операции, совершаемые с персональными данными, права и обязанности субъектов персональных данных (физических лиц и работников ООО «СТОМО»), а также содержит сведения о реализуемых в Обществе требованиях к защите персональных данных.
1.2. Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Обществе, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в Обществе с учетом положений Политики.
1.4. Политика обработки персональных данных (Далее – Политика) в Обществе определяется в соответствии со следующими нормативными правовыми актами:
– Трудовой кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
– Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
– постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
– иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
1.5. В целях реализации положений Политики в Обществе разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
– положение об обработке и защите персональных данных работников Общества;
– положение об обработке и защите персональных данных пациентов Общества;
– иные локальные нормативные акты и документы, регламентирующие вопросы обработки персональных данных в Обществе.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В Политике используются следующие основные термины:
2.1.1. Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.2. Работники (субъекты персональных данных) - физические лица, состоящие в трудовых и иные гражданско-правовые отношения с Обществом-оператором.
2.1.3. Физические лица (субъекты персональных данных) - физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Обществом-оператором, предусмотренных Уставом.
2.1.4. Документы, содержащие персональные данные работника - документы, которые работник предоставляет Обществу-оператору (работодателю) в связи с трудовыми отношениями и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.
2.1.5. Документы, содержащие персональные данные физического лица - документы, необходимые для осуществления действий в целях оформления и исполнения договорных и иных гражданско-правовых отношений.
2.1.6. Оператор, осуществляющий обработку ПД — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющие цели, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.1.7. Специальные персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД) о состоянии здоровья.
2.1.8. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.9. Неавтоматизированная обработка персональных данных – это действия по использованию, уточнению (обновлению, изменению), распространению или уничтожению персональных данных, осуществляемые при непосредственном участии человека в отношении каждого субъекта персональных данных.
2.1.10. Автоматизированная обработка персональных данных – это обработка, включающая в себя операции, осуществляемые полностью или частично с помощью автоматизированных средств.
2.1.11. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.1.12. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.1.13. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.1.14. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание ПД в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПД.
2.1.15. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.1.16. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.1.17. Конфиденциальность персональных данных - обязательное для соблюдения Работодателем (Оператором) требование не допускать их распространение без согласия работника или иного законного основания. Все персональные данные являются конфиденциальными, за исключением общедоступных персональных данных.
2.1.18. Общедоступные персональные данные - ПД, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта и на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2.2. В рамках настоящей Политики оператором, организующим и осуществляющим обработку персональных данных, является ООО «СТОМО». Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом «О персональных данных», Трудовым кодексом Российской Федерации, настоящей Политикой и иными нормативными правовыми актами.
2.3. ООО «СТОМО» обрабатывает персональные данные следующих категорий субъектов персональных данных:
– персональные данные работников ООО «СТОМО» – информация, необходимая ООО «СТОМО» в связи с трудовыми отношениями;
– персональные данные клиентов, партнеров, контрагентов, а также сотрудников юридического лица, являющегося клиентом или контрагентом ООО «СТОМО» – информация, необходимая ООО «СТОМО» для выполнения своих обязательств в рамках договорных отношений;
– персональные данные иных лиц (курьеры, представители обслуживающих организаций и др.) – информация, необходимая ООО «СТОМО» для реализации своих прав и законных интересов в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами.
2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные обрабатываются в Обществе в целях:
2.1.1. обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации;
2.1.2. регулирования трудовых отношений с работниками Общества;
2.1.3. подготовки, заключения, исполнения и прекращения договоров с контрагентами;
2.1.4. исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
2.1.5. осуществления прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества;
2.1.6. в иных законных целях.
2.2. Общество осуществляет обработку персональных данных работников Общества и других субъектов персональных данных, не состоящих с Обществом в трудовых отношениях, в соответствии со следующими принципами:
2.2.1. обработка персональных данных осуществляется на законной и справедливой основе;
2.2.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
2.2.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.2.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
2.2.5. содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
2.2.6. при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В Обществе принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению не полных или неточных персональных данных;
2.2.7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
2.2.8. обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Объем персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных, указанных в разделе 2 Политики.
3.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.
3.3. В Обществе обрабатываются персональные данные следующих категорий субъектов:
- кандидатов, работников, родственников работников, лиц, ранее состоявших в трудовых отношениях с Обществом;
- физических лиц по договорам гражданско-правового характера;
- контрагентов – физических лиц, представителей и работников контрагентов (юридических лиц).
3.3.1. Объем обрабатываемых персональных данных работников Общества.
При приеме на работу Общество обрабатывает следующие анкетные и биографические данные работника:
– общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные);
- сведения о месте регистрации и месте фактического проживания, контактных телефонах, адрес электронной почты;
- сведения об образовании (названия оконченных учебных заведений и год окончания, специальности и квалификации, наличие учебных степеней, данные о прохождении дополнительного профессионального образования);
- сведения о повышении квалификации и профессиональной переподготовке, прохождении аттестации;
– сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
- данные страхового свидетельства обязательного пенсионного страхования;
- данные свидетельства о постановке физического лица на учет в налоговом органе по месту жительства на территории Российской Федерации;
– другие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.
В дальнейшем в личную карточку работника по форме Т-2 вносят сведения:
– о переводах на другую работу;
– аттестации, повышении квалификации, профессиональной переподготовке;
– наградах (поощрениях), почетных званиях;
– социальных льготах, на которые работник имеет право в соответствии с законодательством.
- Цели обработки персональных данных работников Общества:
– ведение кадрового учета;
– учет рабочего времени работников;
– расчет заработной платы работников;
– ведение налогового учета;
– ведение воинского учета;
– предоставление в государственные органы регламентированной отчетности;
– обязательное и добровольное медицинское страхование работников;
– бронирование и оплата билетов и гостиничных номеров работникам;
– архивное хранение данных;
– содействие работнику в трудоустройстве, обучении, продвижении по службе, пользовании различных льгот.
Получение и обработка персональных данных работника Общества должны осуществляться исключительно в указанных целях.
Полученные персональные данные, необходимые для достижения вышеуказанных целей, отражаются в внутренних нормативных документах Общества, регламентирующих кадровое делопроизводство и учет.
3.3.2. Персональные данные физических лиц по договорам гражданско-правового характера; контрагентов – физических лиц и представителей, и работников контрагентов (юридических лиц).
Состав и объем персональных данных указанных субъектов определяется в соответствии с внутренними нормативными документами Общества, регламентирующими деятельность по реализации уставных целей, осуществление сделок в соответствии с законодательством Российской Федерации, на основании утвержденных форм документов (договоров/анкет и заявок).
- Цели обработки персональных данных указанных субъектов:
– подготовка, заключение, исполнение и прекращение гражданско-правовых договоров с контрагентами;
– реализация прав и законных интересов ООО «СТОМО» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;
– осуществление сделок в соответствии с законодательством Российской Федерации.
4. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА
4.1. Общество имеет право:
4.1.1. На получение достоверных персональных данных от субъекта персональных данных в случаях и порядке, установленных законодательством РФ и настоящей Политики.
4.1.2. Предоставлять персональные данные Работников третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
4.1.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.
4.1.4. Использовать персональные данные Работников без его согласия в случаях, предусмотренных законодательством РФ.
4.1.5. На привлечение к дисциплинарной и материальной и иной ответственности лиц, нарушивших правила обработки и получения персональных данных в соответствии с законодательством и настоящим Положением.
4.1.6. Иные права, предусмотренные действующим законодательством.
4.2. Основные обязанности Общества:
4.2.1. Должностные лица Общества, в обязанности которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом.
4.2.2. Работодатель обязан:
- предоставить работнику по его просьбе информацию о наличии у него персональных данных владельца, цели их обработки, способ обработки, разъяснить юридические последствия отказа работника от их предоставления в случае, если такая обязанность предусмотрена Федеральным законодательством;
- по письменному заявлению работника не позднее 3-х рабочих дней со дня его подачи бесплатно выдавать работнику копии документов, связанных с работой;
- устранять выявленные недостоверные персональные данные в случаях и порядке, предусмотренном Федеральным законодательством;
- принимать возможные меры по обеспечению безопасности персональных данных работников при их обработке;
- обеспечить хранение первичной учетной документации. При этом персональные данные субъектов не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
4.2.3. Сотрудники ООО «СТОМО», допущенные к обработке персональных данных, обязаны:
– знать и неукоснительно выполнять требования настоящей Политики;
– обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
– не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей;
– пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;
– выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;
– хранить тайну о сведениях, содержащих персональные данные субъектов в соответствии с локальными актами ООО «СТОМО».
4.2.4. Сотрудникам ООО «СТОМО», допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.
4.2.5. Каждый новый работник ООО «СТОМО», непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ в области защиты персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.
5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъекты персональных данных имеют право на:
– полную информацию о составе и содержимом их персональных данных, способе обработки этих данных, свободный доступ к своим персональным данным;
- работники ООО «СТОМО» имеют право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством РФ.
Выдача документов, содержащих персональные данные работников, осуществляется в соответствии со ст. 62 Трудового кодекса Российской Федерации, гл. 3 ст. 14 Федерального закона № 152-ФЗ с соблюдением следующей процедуры:
1) заявление работника о выдаче того или иного документа на имя генерального директора Общества (Работодателя);
2) выдача заверенной копии (в количестве экземпляров, необходимом работнику) заявленного документа либо справки о заявленном документе или сведениях, содержащихся в нем;
- внесение соответствующих записей в журнал учета выданной информации;
- получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Обществом способы обработки персональных данных;
- наименование и место нахождения Общества-оператора, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании Федерального закона № 152-ФЗ;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом № 152-ФЗ или Федеральным законодательством.
– уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
– отзыв согласия на обработку персональных данных;
– принятие предусмотренных законом мер по защите своих прав;
– обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства РФ в области защиты персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
– осуществление иных прав, предусмотренных законодательством РФ.
5.2. Сведения предоставляются физическому лицу или его представителю Обществом при обращении либо при получении запроса физического лица или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность физического лица или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие физического лица в отношениях с Обществом (номер договора, дата заключения договора, иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись физического лица или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.3. Субъекты персональных данных обязаны:
– в случаях, предусмотренных законом или договором, передавать Обществу достоверные документы, содержащие персональные данные;
– не предоставлять неверные персональные данные, а в случае изменений в персональных данных, обнаружения ошибок или неточностей в них (фамилия, место жительства и т. д.), незамедлительно сообщить об этом Обществу;
- для своевременной и полной реализации своих трудовых, пенсионных и иных прав работник Общества обязуется поставить в известность работодателя об изменении персональных данных, обрабатываемых работодателем в связи с трудовыми отношениями, в том числе изменении фамилии, имени, отчества, паспортных данных, о получении образования, квалификации, получении инвалидности и иных медицинских заключений, препятствующих выполнению своих должностных обязанностей, и прочих данных c предоставлением подтверждающих документов.
- соблюдать условия настоящей Политики.
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
6.2. Обработка персональных данных в Обществе осуществляется следующими способами:
– без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
– автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
6.3. Общество при осуществлении обработки персональных данных:
– принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных;
– принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– назначает лицо, ответственное за организацию обработки персональных данных в Обществе;
– издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в Обществе;
– осуществляет ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
– публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
– сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
– прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
– совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
6.4. Обработка персональных данных в Обществе допускается, если она:
– необходима для исполнения договора, стороной, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
– необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
– необходима для осуществления прав и законных интересов ООО «СТОМО» при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
6.5. Обработка персональных данных физических лиц и работников осуществляется на основе принципов:
- Обработка персональных данных должна осуществляться на законной и справедливой основе.
- Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных;
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры, либо обеспечивать их принятие по удалению или уточнению не полных или неточных данных.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
6.6. В целях обеспечения прав и свобод человека и гражданина, Общество и его представители при обработке персональных данных физического лица или работника обязаны соблюдать следующие общие требования:
- Обработка персональных данных клиента может осуществляться исключительно в целях оформления и исполнения договорных и иных гражданско-правовых отношений в соответствии с законодательством Российской Федерации в области персональных данных.
- Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов с учетом положений Федерального закона № 152-ФЗ «О персональных данных», содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества в соответствии с законодательством Российской Федерации.
- Все персональные данные физического лица следует получать у него самого или у его полномочного представителя. Все персональные данные работника работодатель должен получать у него самого. Если персональные данные физического лица или работника, возможно, получить только у третьей стороны, то физическое лицо или работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
- При определении объема и содержания, обрабатываемых персональных данных физического лица или работника, Общество должно руководствоваться Конституцией Российской Федерации, Трудовым кодексом, законодательством РФ в сфере защиты персональных данных и обработки информации, Уставом Общества, иными Федеральными законами и локальными нормативными актами в области защиты персональных данных.
- Общество не имеет права получать и обрабатывать персональные данные физического лица или работника, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.
- Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении физического лица и работника или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. 7). Решение, порождающее юридические последствия в отношении физического лица или работника, или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме физического лица и работника, или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
- Общество (Работодатель) обязано разъяснить физическому лицу и работнику порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты физическим лицом и работником своих прав и законных интересов.
- Общество обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить физического лица и работника о результатах рассмотрения такого возражения.
- Защита персональных данных физических лиц и работников от неправомерного их использования или утраты должна быть обеспечена Обществом за счет своих средств, в порядке, установленном Федеральным законодательством и другими нормативными документами.
- Работники или их представители должны быть ознакомлены под личную подпись с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
7. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА (ФИЗИЧЕСКОГО ЛИЦА И РАБОТНИКА ОБЩЕСТВА)
7.1 Получение персональных данных преимущественно осуществляется путем представления их самим физическим лицом или работником, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласия физического лица и работника в письменной форме. Равнозначным содержащему собственноручную подпись физического лица и работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью. Согласие физического лица и работника в письменной форме на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование и адрес Общества-оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Обществом способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законодательством;
- подпись субъекта персональных данных.
7.2. Для обработки персональных данных, содержащихся в согласии в письменной форме физического лица и работника на обработку его персональных данных, дополнительное согласие не требуется.
В случае недееспособности физического лица согласие на обработку его персональных данных дает в письменной форме его законный представитель.
В случае смерти физического лица согласие на обработку его персональных данных дают законные представители физического лица, если такое согласие не было дано физическим лицом при его жизни.
7.3. В случае необходимости проверки персональных данных физического лица или работника заблаговременно должно сообщить об этом физическому лицу или работнику, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа физического лица или работника дать письменное согласие на их получение.
7.4. Обработка персональных данных работника не требует получения соответствующего согласия в следующих случаях:
- Если объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.
- В случаях, предусмотренных правилами внутреннего трудового распорядка, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса РФ.
- Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, предусмотрена законодательством Российской Федерации.
- Обработка персональных данных близких родственников работника в объеме, предусмотренном формой № Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05 января 2004 г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат). В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
- Обработка специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства.
- При передаче персональных данных работника третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
- При передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25 апреля 1997 г. № 490, нормативными правовыми актами в сфере транспортной безопасности).
- В случаях передачи работодателем персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации.
- При мотивированных запросах от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
- Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
- В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
- Передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
- договор на выпуск банковской карты заключался напрямую с работником и в тексте, которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
- наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
- соответствующая форма и система оплаты труда прописана локальных нормативных актах Общества.
- Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.
7.5. При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.
7.6. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее не представляется возможным, данное резюме подлежит уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме, либо отказе в приеме на работу.
Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.
Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 Трудового кодекса Российской Федерации работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.
7.7. Ведение кадрового резерва трудовым законодательством не регламентировано. В этом случае, обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.
Согласие на внесение соискателя в кадровый резерв организации оформляется в форме отдельного документа.
Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.
7.8. В соответствии с частью 1 статьи 11 ФЗ № 152 «О персональных данных»:
- Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
- Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
8. ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ И РАБОТНИКОВ
8.1. Информация персонального характера физического лица и работника хранится и обрабатывается с соблюдением требований действующего Российского законодательства о защите персональных данных.
8.2. Порядок хранения документов, содержащих персональные данные работников осуществлять в соответствии с:
- Правилами, устанавливающими порядок ведения и хранения трудовых книжек, а также порядок изготовления бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства РФ от 16 апреля 2003 г. № 225 «О трудовых книжках»;
- Унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными Постановлением Госкомстата России от 05 января 2004 г. № 1;
- Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства Российской Федерации от 6 июля 2009 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры России от 25 августа 2010 г. № 558.
8.3. Обработка персональных данных физических лиц и работников Общества осуществляется смешанным путем:
- неавтоматизированным способом обработки персональных данных;
- автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
8.4. Персональные данные физических лиц и работников хранятся на бумажных носителях и в электронном виде.
8.5. Хранение текущей документации и оконченной производством документации, содержащей персональные данные физических лиц и работников Общества, осуществляется во внутренних подразделениях Общества, а также в помещениях Общества предназначенных для хранения отработанной документации, в соответствии с действующим Приказом (Распоряжением) директора Общества.
Ответственные лица за хранение документов, содержащих персональные данные физических лиц и работников, назначены приказом директора Общества.
8.6. Хранение персональных данных физических лиц и работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные физических лиц и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
8.7. Общество обеспечивает ограничение доступа к персональным данным физических лиц и работников лицам, не уполномоченным Федеральным законодательством, либо Обществом для получения соответствующих сведений.
8.8. Доступ к персональным данным физических лиц и работников без специального разрешения имеют только должностные лица Общества, допущенные к работе с персональными данными физических лиц и работников Приказом руководителя Общества. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных.
9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ И РАБОТНИКОВ ОБЩЕСТВА ТЕТЬИМ ЛИЦАМ
9.1. Передача персональных данных физических лиц третьим лицам осуществляется Обществом только с письменного согласия физического лица, с подтверждающей визой директора, за исключением случаев, если:
- передача необходима для защиты жизни и здоровья физического лица, либо других лиц, и получение его согласия невозможно;
- в целях обследования и лечения физического лица, не способного из-за своего состояния выразить свою волю;
- по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;
- в случае оказания помощи несовершеннолетнему в возрасте до 15 лет, для информирования его родителей или законных представителей;
- при наличии оснований, позволяющих полагать, что права и интересы физического лица могут быть нарушены противоправными действиями других лиц;
- в иных случаях, прямо предусмотренных Федеральным законодательством.
Лица, которым в установленном Федеральным законом №152-ФЗ порядке переданы сведения, составляющие персональные данные физического лица, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.
9.2. Передача персональных данных физического лица третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой директора при условии соблюдения требований, предусмотренных п. 9.1 настоящей Политики.
9.3. При передаче персональных данных работника третьим лицам работодатель должен соблюдать следующие требования:
- Не сообщать персональные данные работника третьему лицу без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, прямо предусмотренных законодательством РФ.
- Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
- Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
- Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
- Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и только в том объеме, который необходим для выполнения указанными представителями их функций.
9.4. Передача персональных данных работника третьим лицам осуществляется на основании письменного заявления/запроса третьего лица с разрешающей визой директора и только с согласия работника, в отношении которого поступил такой запрос, за исключением случаев, прямо предусмотренных абз.1 п.9.3. настоящей Политики.
9.5. Получателями персональных данных работников Общества (внешний доступ) могут относиться организации, в т.ч. государственные учреждения, органы государственной власти, получающие персональные данные в объеме и в порядке, определенном действующим законодательством, а именно:
- налоговые органы;
- правоохранительные органы;
- судебные органы;
- органы статистики;
- военкоматы;
- органы социального страхования (медицинские страховые организации в соответствии с договором обязательного медицинского страхования работающих граждан);
- банковские организации;
- пенсионные фонды;
- подразделения муниципальных органов управления;
- другие получатели, в том числе вышестоящие федеральные органы исполнительной власти (по подведомственности).
9.6. Общество обеспечивает ведение Журнала учета выданных персональных данных физических лиц и работников по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных данных физического лица или работника, либо отсутствует письменное согласие физического лица или работника на передачу его персональных данных, Общество обязано отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится у Общества.
10. ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ (ФИЗИЧЕСКИХ ЛИЦ И РАБОТНИКОВ)
10.1 Включение персональных данных физического лица в общедоступные источники персональных данных возможно только при наличии его письменного согласия.
10.2. В целях информационного обеспечения работодателем могут создаваться общедоступные источники персональных данных работников (в том числе справочники, адресные книги, информационные стенды для потребителей услуг, оказываемых работодателем). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год и место рождения, адрес, иные персональные данные, предоставленные работником.
10.3. При обезличивании персональных данных согласие физического лица или работника на включение персональных данных в общедоступные источники персональных данных не требуется.
10.4. Сведения о физических лицах или работниках могут быть исключены из общедоступных источников персональных данных по требованию самого физического лица или работника, либо по решению суда или иных уполномоченных государственных органов.
11. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. При обработке персональных данных ООО «СТОМО» принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11.2. Обеспечение безопасности персональных данных достигается посредством:
- Назначения лица, ответственного за организацию обработки персональных данных в Обществе.
- Заключения с лицами, получающими доступ к персональным данным и осуществляющими обработку персональных данных дополнительных соглашений (обязательств) с условием об обеспечении конфиденциальности персональных данных.
- Ограничения доступа к информации, составляющей персональные данные, посредством установления порядка обращения с этой информацией и контроля за его соблюдением.
Все документы, содержащие персональные данные должны быть доступными только тем лицам, которые имеют допуск к таким сведениям в силу исполнения ими своих должностных обязанностей.
- Принятия локальных нормативных актов и иных документов в области обработки и защиты персональных данных.
- Применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
- Обнаружения фактов несанкционированного доступа к персональным данным и принятия необходимых мер.
- Обеспечения записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных субъектов с использованием баз данных, находящихся на территории РФ (г. Череповец, ул. К.Белова, д. 36) при сборе персональных данных, в том числе посредством сети Интернет.
- Хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных, отдельно друг от друга.
- Установления правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
- Контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных.
- Проведения обучения и проверки знаний норм и требований в области защиты персональных данных.
- Обучение и проверка знаний в области защиты персональных данных осуществляется не реже одного раза в год.
- Отказ работника от прохождения обучения и проверки знаний в области защиты персональных данных является основанием для применения дисциплинарных взысканий.
- Иные меры, предусмотренные законодательством РФ в области защиты персональных данных.
11.3. Выбор средств защиты информации для системы защиты персональных данных осуществляется Обществом в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
11.4. Для обеспечения безопасности персональных данных физических лиц и работников при неавтоматизированной обработке предпринимаются следующие меры:
11.4.1. Определяются места хранения персональных данных, которые оснащаются средствами защиты:
- в кабинетах, где осуществляется хранение документов, содержащих персональные данные физических лиц и работников, имеются сейфы, шкафы, стеллажи, тумбы;
- дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками и системой пожарной сигнализаций.
11.4.2. Все действия по неавтоматизированной обработке персональных данных физических лиц и работников осуществляются только должностными лицами, согласно Списка должностей, утвержденного приказом директора Общества, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
11.4.3. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
Персональные данные физических лиц и работников, содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении персональных данных.
Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
11.4.4. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
11.5. Для обеспечения безопасности персональных данных физического лица и работника при автоматизированной обработке предпринимаются следующие меры:
11.5.1. Все действия при автоматизированной обработке персональных данных физических лиц и работников осуществляются только должностными лицами, согласно Списка должностей, утвержденного приказом директора Общества, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
11.5.2. Персональные компьютеры, имеющие доступ к базам хранения персональных данных физических лиц и работников, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных физических лиц и работников на данном ПК.
11.5.3. Иные меры, предусмотренные организацией и проведением работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
11.6. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения, в соответствии с приказами по архивному делу, или продлевается на основании заключения экспертной комиссии Общества, если иное не определено законодательством РФ.
12. ПОРЯДОК УНИЧТОЖЕНИЯ, БЛОКИРОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу физического лица или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
12.2. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных, либо уполномоченным органом по защите прав субъектов персональных данных или иных необходимых документов Общество уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных
Если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
12.4. В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является физическое лицо, иным соглашением между Обществом и физическим лицом, либо если Общество не вправе осуществлять обработку персональных данных без согласия физического лица на основаниях, предусмотренных Федеральным законом № 152-ФЗ или Федеральным законодательством.
12.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Обществом и физическим лицом, либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или Федеральным законодательством.
12.6. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Общество осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
13. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ
13.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных физического лица и работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральным законодательством.
13.2. Работники Общества, допущенные к обработке персональных данных физических лиц и работников, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
13.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
13.4. Каждый Работник Общества, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
13.5. Моральный вред, причиненный физическому лицу или работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом № 152-ФЗ, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом № 152-ФЗ, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
14.1. Настоящая Политика вступает в силу с даты ее утверждения.
14.2. При необходимости приведения настоящей Политики в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании приказа директора Общества.
14.3. Настоящая Политика распространяется на всех физических лиц и работников, а также работников Общества-оператора, имеющих доступ и осуществляющих перечень действий с персональными данными физических лиц и работников.
14.4. Физические лица Общества, а также их законные представители имеют право ознакомиться с настоящей Политикой.
14.5. Работники Общества подлежат ознакомлению с данным документом под личную подпись.
Ознакомление Работников с условиями настоящей Политики при приеме на работу производится под роспись до подписания трудового договора.
14.6. Роспись Работника в листе ознакомления означает его согласие и обязательство исполнения.
14.7. Действующая редакция Политики на бумажном носителе хранится в отделе кадров.
14.8. Электронная версия действующей редакции Политики общедоступна на сайте ООО «СТОМО» в сети Интернет - http://stomocentre.ru/.
Согласовано: Главный врач _________________________ О.В.Окунева