Политика в отношении обработки персональных данных

1. Общие положения
1.1. Назначение и область действия документа

Настоящее Положение об обработке персональных данных (далее — Положение) определяет порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных субъектов персональных данных в Обществе с ограниченной ответственностью – владельце сайта, сведения о котором Вы можете найти на данном сайте (далее – «Предприятие», «Организация», или «Общество»)

Настоящее Положение разработано в соответствии с федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон), постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Трудовым кодексом РФ.

Цель данного Положения – определение порядка обработки персональных данных субъектов персональных данных в Предприятии (далее — Организация).

Юридические и физические лица, в соответствии со своими полномочиями владеющие, получающие и использующие информацию о субъектах персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность за нарушение правил обработки и защиты этой информации.

Настоящее Положение вступает в силу с момента его утверждения руководителем Предприятия и действует бессрочно до замены его новым Положением.

Все изменения в Положение вносятся приказом руководителя Организации.

Все сотрудники Организации, имеющие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящим Положением под роспись для последующего его исполнения.


2. Основные понятия и состав персональных данных
2.1. Термины и определения

Автоматизированная обработка персональных данных - обработка персональных данных с использованием средств вычислительной техники.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Атака – целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.

Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.

Безопасность информации – состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.

Блокирование информации – временное прекращение сбора, систематизации, накопления, использования, распространения, информации, в том числе её передачи.

Доступ к информации – возможность получения информации и ее использования.

Жизненно важные интересы – совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона - это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Модель угроз – перечень возможных угроз информации.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Средства вычислительной техники совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение информации – действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.

Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

Целостность информации способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

2.2 Определение перечня персональных данных, обрабатываемых в Предприятии

В Организации обрабатываются персональные данные следующих категорий субъектов персональных данных:

2.2.1 Персональные данные работников
2.2.2 Персональные данные соискателей на вакантные должности
2.2.3 Персональные данные контрагентов
2.2.4. Перечень обрабатываемых персональных данных:
2.2.5. Цели обработки персональных данных работников:
1) ведение кадрового учета в соответствии с Трудовым кодексом Российской Федерации;
2) начисление заработной платы и премиального вознаграждения;
3) организации системы доступа в помещения Предприятии;
4) подготовка регламентированной отчетности в государственные контрольные органы (ФНС, ПФР, ФСС и другие).

2.2.6. Цели обработки персональных данных соискателей:
1) трудоустройство на вакантные должности Предприятии, как существующие так и необходимость в которых потенциально возможна

2.2.7 Цели обработки персональных данных контрагентов:
— покупка товарно-материальных ценностей у контрагента; приобретения услуг (работ) у контрагента; оказание контрагенту услуг.
3. Принципы обработки персональных данных
3.1. Общие принципы обработки

Обработка персональных данных должна осуществляться на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.

Сбор, накопление, хранение, изменение, использование и распространение, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться только при условии письменного согласия физического лица, за исключением случаев, предусмотренных Законом.

Обработка персональных данных обрабатывается как с помощью средств автоматизации, так и без использования таких средств.

Правила обработки и защиты персональных данных без использования средств автоматизации установлены в соответствующем внутреннем документе Предприятии.

Правила обработки персональных данных в информационной системе персональных данных установлены в Инструкции администратора информационной безопасности и в Инструкции пользователя информационной системы персональных данных.

3.2. Порядок сбора и хранения персональных данных

{Весь раздел необходимо актуализировать в соответствии с действительными данными} При сборе персональных данных Организация обязана предоставить физическому лицу (субъекту персональных данных) по его запросу информацию о целях, способах обработки персональных данных, сведения о лицах, имеющих доступ к персональным данным, перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Информация, представляемая работником при приеме на работу, должна иметь документальное оформление. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документ об образовании, о квалификации или наличии специальных знаний -при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • дополнительные документы - в случаях предусмотренных федеральными законами, указами Президента РФ или постановлениями Правительства РФ.

В структурных подразделениях по управлению персоналом предприятия создаются, обрабатываются и хранятся следующие документы, содержащие персональные данные работников:
а) Карточка ф. Т-2, в которой отражаются следующие анкетные и биографические данные работника, которые относятся к персональным данным:
общие сведения (ФИО работника, дата рождения, место рождения, пол, гражданство, знание иностранного языка, образование, профессия, общий трудовой стаж, состояние в браке, паспортные данные, адрес места жительства, дата регистрации по месту жительства, номер телефона);
  • сведения о воинском учете;
  • данные о приеме на работу.
В дальнейшем в карточку ф. Т-2 вносятся:
  • сведения о переводах на другую работу;
  • сведения об аттестации;
  • сведения о повышении квалификации;
  • сведения о профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения об отпусках;
  • сведения о социальных льготах и гарантиях.
б) Анкета, которая заполняется работником при приеме на работу (содержатся анкетные и биографические данные работника).
в) Трудовой договор (содержит сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника).
г) Подлинники и копии приказов по личному составу и основания к ним (содержат информацию о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника).
д) Трудовая книжка или ее копия (содержит сведения о трудовом стаже, предыдущих местах работы).
е) Копии свидетельств о заключении брака, рождении детей (необходимы работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством).
ж) Справка о доходах с предыдущего места работы (необходима работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством).
з) Справка о сумме заработной платы, иных выплат и вознаграждений за 2 последние календарные года для начисления пособия по временной нетрудоспособности.
и) Копии документов об образовании (подтверждают квалификацию работника, обосновывают занятие определенной должности).
к) При необходимости иные документы (материалы служебных расследований, подлинники и копии отчетных, аналитических и справочных материалов), содержащие персональные данные работников.

Персональные данные соискателей на вакантные должности попадают в Организацию через специализированные веб-сайты (электронные биржи труда) или направляются соискателями непосредственно на электронную почту Организации. В случае приглашения соискателя на собеседование, данные в резюме могут подтверждаться документально. Копии подтверждающих документов могут храниться в Организации, но не дольше чем до достижения цели их обработки, то есть до замещения вакантной должности.

Персональные данные соискателей, используемые для формирования кадрового резерва хранятся до принятия решения об отсутствии потенциальной необходимости занятия названной должности, до внесения изменений в штатное расписание об исключении данной должности из него, либо до утраты актуальности сведений (актуальность считается утраченной по истечении 1 года с момента предоставления данных сведений соискателем).

Персональные данные контрагентов поступают в Организацию при заключении договора, подтверждаются оригиналами документов и хранятся в течение исполнения договорных обязательств.

3.3 Процедура получения персональных данных работников

При заключении трудового договора работник обязан предоставить следующие документы, содержащие его персональные данные:
  • действующий российский паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку (при наличии);
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета (военный билет);
  • документы об образовании;
  • водительское удостоверение (в зависимости от должности);
  • идентификационный номер налогоплательщика (при наличии).

Если трудовой договор с работником заключается впервые, трудовая книжка и страховое свидетельство государственного пенсионного страхования оформляются Организацией. В некоторых случаях, в зависимости от характера выполнения работы и конкретных должностных обязанностей, работник должен предоставить дополнительные документы, такие как:
  • заграничный паспорт;
  • медицинскую справку о стоянии здоровья;
  • справку о доходах.

Этот список не ограничивается вышеперечисленными документами и может включать иные документы, содержащие персональные данные работника и необходимые Организации для выполнения ею своих обязательств как по отношению к работнику, так и к третьей стороне. В случае необходимости Организация вправе обратиться к работнику с просьбой о предоставлении документов, содержащих его персональные данные.

Все персональные данные работника следует получать непосредственно от него самого.

Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на получение его персональных данных у третьей стороны. Организация должна сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Работник при изменении персональных данных письменно уведомляет работодателя о таких изменениях в срок, не превышающий трех рабочих дней.
В соответствии со статьей 86 главы 14 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:
обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;
защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;
работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.4 Передача персональных данных третьим лицам

Передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом, не допускается. Данное ограничение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.

Передача персональных данных субъекта в коммерческих целях без его письменного согласия исключается. Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.

Передача или получение персональных данных осуществляются в соответствии с утвержденными Правилами рассмотрения запросов субъектов персональных данных или их представителей.

Персональные данные соискателей и контрагентов третьим лицам не передаются.

Персональные данные работников передаются в государственные контролирующие органы в соответствии с федеральными законами (ФНС, ФСС, ПФР и др.), а также в рамках зарплатного проекта в банк

Передача персональных данных в финансовую организацию производится с информированного и осознанного согласия работника. В договоре с банковской организацией предусмотрена обязанность третьего лица обеспечения конфиденциальности полученной от Организации информации, в том числе и персональных данных.

3.5 Трансграничная передача персональных данных

Трансграничная передача персональных данных Организацией не осуществляется.

Все технические средства обработки персональных данных (рабочие станции и сервера) находятся в пределах Российской Федерации.

3.6 Порядок уничтожения и блокирования персональных данных

Организация обязана прекратить обработку персональных данных и уничтожить их после достижения цели обработки или в случае отзыва субъектом персональных данных согласия на обработку, за исключением случаев, когда уничтожение противоречит федеральному законодательству, а также уведомить о своих действиях субъекта персональных данных и (или) уполномоченный орган. Во всех случаях предусмотрен срок уничтожения персональных данных – три рабочих дня.

В целях оперативной организации уничтожения персональных данных на бумажных носителях такое уничтожение производится руководителем Предприятия. Руководитель предприятия вправе, а в предусмотренных законом случаях обязан, создать комиссию по уничтожению персональных данных и утвердить форму акта уничтожения персональных данных.

Персональные данные, обрабатываемые в информационной системе персональных данных, удаляются путем стирания записи в базах данных администратором информационной безопасности Организации по запросу субъекта или при достижении целей обработки персональных данных.

Временное прекращение операций по обработке персональных данных (блокирование) должно возникать по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

3.7 Защита персональных данных

При обработке персональных данных Организация принимает организационные и технические меры для защиты персональных данных от неправомерных действий в соответствии с требованиями, устанавливаемыми Правительством РФ.

Защита персональных данных при неавтоматизированной их обработке регламентируется внутренним документом «Правила обработки персональных данных без использования средств автоматизации», если они не включены в настоящее Положение в качестве раздела или их совокупности.

В Организации проведена внутренняя оценка эффективности принятых мер по защите персональных данных, подтвердившая в целом удовлетворительное состояние системы защиты персональных данных.

3.8 Согласие на обработку персональных данных

{Весь раздел необходимо актуализировать в соответствии с действительными данными} С соискателей согласия на обработку персональных данных берутся только в случае приглашения соискателя на собеседование в офис Организации.

Размещая свое резюме на электронных биржах труда или присылая резюме на электронную почту Организации, соискатель автоматически (исходя из его фактических действий) дает свое согласие на обработку его персональных данных.

С контрагентов согласия на обработку персональных данных не берутся, поскольку обработка их персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. В соответствии с пп. 5, п. 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» согласие на обработку персональных данных в таких случаях не требуется.

Со всех работников Организации собирается согласие на обработку их персональных данных. Несмотря на то, что обработка персональных данных производится в основном в соответствии с Трудовым Кодексом Российской Федерации, персональные данные работников в рамках зарплатного проекта передаются третьему лицу (банку). В соответствии с п. 3 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» такая передача персональных данных возможна только с согласия субъекта персональных данных.

4. Доступ к персональным данным
4.1 Организация доступа работников к персональным данным субъектов

Должностные лица Организации должны иметь доступ только к тем персональным данным, которые необходимы им для выполнения своих функциональных обязанностей.

В Организации разработана и утверждена разрешительная система допуска к персональным данным (Положение о разграничении прав доступа к персональным данным). Круг лиц, допущенных к обработке персональных данных, определяет руководство Организации на основании данных, представленных руководителями подразделений, в которых ведется обработка персональных данных. Данный Перечень утверждается руководителем Организации.

Должностные лица Организации допускаются к обработке персональных данных после ознакомления с настоящим Положением, инструкцией пользователя ИСПДн а также с иной организационно-распорядительной документацией Организации по защите персональных данных.

Должностные лица Организации перед началом обработки персональных данных подписывают соглашение о неразглашении персональных данных.

Доступ должностных лиц к обработке персональных данных осуществляется в соответствии с Перечнем лиц, должностей, служб и процессов, допущенных к работе с персональными данными.

В случае обнаружения нарушений правил обработки персональных данных в Организации руководство Организации и/или администратор безопасности информации и/или ответственный за организацию обработки персональных данных обязаны приостановить предоставление персональных данных пользователям до выявления и устранения причин нарушений.

Работники Организации имеют право на свободный бесплатный доступ к своим персональным данным, а также на получение копий любой записи о своих персональных данных, обрабатываемых в Организации.

Лица, не имеющие доступа к персональным данным в соответствии с Перечнем подразделений и сотрудников, допущенных к работе с персональными данными, могут быть допущены к ним на основании приказа, подписанного {должность руководителя} Организации либо руководителем подразделения данного лица.

4.2 Организация доступа субъекту персональных данных к его персональным данным

Организация, обрабатывающая персональные данные, должна обеспечивать бесплатный доступ субъекта к персональным данным, ему соответствующим, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, а также других случаев, предусмотренных федеральным законодательством.

Для получения доступа к своим персональным данным субъекту необходимо направить в Организацию запрос, содержащий паспортные данные субъекта персональных данных, в бумажной или электронной форме, подписанные собственноручно или квалифицированной электронной подписью.

Работники Организации должны предоставить персональные данные субъекту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам.

В случае если персональные данные субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация обязана удовлетворить требование субъекта по устранению нарушений обработки персональных данных.

С целью организации своевременной обработки запросов и обращений субъектов персональных данных в Организации разработан и утвержден документ «Правила рассмотрения запросов субъектов персональных данных или их представителей».



5. Права и обязанности Предприятия
5.1 Права и обязанности Организации

Организация имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если на это дано информированное согласие субъекта персональных данных или если это предусмотрено действующим законодательством.

В случае выявления недостоверных персональных данных или неправомерных действий с ними Организации при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Организация обязана устранить допущенные нарушения или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.

Должностные лица Организации, в обязанность которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с Правилами рассмотрения запросов субъектов персональных данных.

В случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных Организация обязана внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.

Организация обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.

По запросу уполномоченного органа по защите прав субъектов персональных данных Организация обязана предоставить ему необходимую информацию.

6. Права и обязанности работников Предприятии
6.1 Общие положения

Работники, допущенные к обработке персональных данных, обязаны ознакомиться с документами Организации, которые устанавливают порядок обработки персональных данных в Организации, и подписать лист ознакомления с ними, а также подписать соглашение о неразглашении персональных данных, полученных в ходе исполнения своих должностных обязанностей.

6.2 Права работника

В целях защиты персональных данных, хранящихся в Организации, работник имеет право:
– требовать исключения или исправления неверных или неполных персональных данных;
– на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
– определять своих представителей для защиты своих персональных данных;
– на сохранение и защиту своей личной и семейной тайны;
– на обжалование в суде любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.

В целях защиты персональных данных, хранящихся в Организации, работник, осуществляющий обработку персональных данных, имеет право:
– получать и вводить информацию в соответствии с его полномочиями;
– требовать оповещения Организацией субъекта персональных данных обо всех произведенных в них исключениях, исправлениях или дополнениях.

6.3 Обязанности работника

В части своих персональных данных:
– передавать Организации достоверные документы, содержащие персональные данные, состав которых установлен Трудовым кодексом РФ;
– не предоставлять неверные персональные данные, а в случае изменений в персональных данных или обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), незамедлительно сообщить об этом в Организацию.

6.3.1 В части обработки персональных данных субъекта:
– соблюдать режим конфиденциальности;
– не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
– не сообщать персональные данные субъекта третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;
– разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
– не запрашивать дополнительную информацию, содержащую персональные данные, за исключением тех сведений, которые необходимы для достижения целей обработки персональных данных.
7. Права субъектов персональных данных
7.1 Получение сведений об Организации

Субъект персональных данных имеет право на получение сведений об Организации, о месте ее нахождения, о наличии у Организации персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.2 Доступ к своим персональным данным

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Организацией при обращении либо при получении запроса субъекта персональных данных или его законного представителя.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Организацией, а также цель такой обработки;
– способы обработки персональных данных, применяемые Организацией;
– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
– перечень обрабатываемых персональных данных и источник их получения;
– сроки обработки персональных данных, в том числе сроки их хранения;
– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.3 Ограничение прав субъектов персональных данных

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) предоставление персональных данных нарушает конституционные права и свободы других лиц.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
8.1 Общие положения

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этой информации.

Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных, действующего на основании законодательства о персональных данных.

8.2 Персональная ответственность должностных лиц Предприятии

Должностные лица Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность, предусмотренную федеральным законодательством.

Руководитель подразделения, разрешивший доступ должностному лицу к персональным данным несет персональную ответственность за данное решение.

Должностные лица Организации, получающие доступ к персональным данным несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации. Кроме того, должностные лица Организации, получающие для работы документы, содержащие персональные данные, несут персональную ответственность за их сохранность.

В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой какие-либо финансовые потери для Организации, виновные должностные лица обязаны возместить причиненный ущерб.
Приложение к
Положению о ПЕРСОНАЛЬНЫХ ДАННЫХ.

Форма согласия на обработку
персональных данных
Директору ООО «___________»
/__________________/

от _______________________________,
(ФИО сотрудника)
зарегистрированного по адресу:____________________
_________________________________,
паспорт_________________(серия, №),
выдан «____»_______________г. (дата)
_______________________(кем выдан)
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, _______________________________ (фамилия, имя, отчество полностью),
в соответствии со статьёй 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" настоящим даю согласие Обществу с ограниченной ответственностью «__________», расположенному по адресу: _________________________________, на обработку (в том числе в электронной форме) моих персональных данных, а именно на совершение действий, предусмотренных пунктами 3 статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
Согласие даётся в целях:
-обеспечения соблюдения законов и иных нормативных правовых актов;
-заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений;
-оформления страхового свидетельства обязательного пенсионного страхования (для лиц, впервые поступающих на работу);
-отражения информации обо мне в кадровых документах;
- начисления заработной платы;
-исчисления и уплаты предусмотренных законодательством РФ налогов, сборов, а также страховых взносов на обязательное пенсионное, социальное, медицинское страхование;
-представления работодателем по формам, установленным законодательством, налоговой отчетности в ИФНС, расчетов по страховым взносам, расчетов по начисленным и уплаченным страховым взносам на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний, а также по расходам на выплату страхового обеспечения, сведений персонифицированного учета в органы ПФР, ФСС РФ, а также статистической отчетности в Росстат;
-предоставления сведений в банк для открытия расчетного счета, оформления банковской карты и перечисления на нее заработной платы;
-предоставления сведений третьим лицам для прохождения обязательных медицинских осмотров, а также для оформления полиса ДМС;
-предоставления налоговых вычетов;
-обеспечения безопасности условий труда;
-контроля количества и качества выполняемой работы;
-обеспечения сохранности имущества работодателя.

Перечень моих персональных данных, на обработку которых я даю согласие:
- фамилия, имя, отчество;
- пол, возраст;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства и адрес фактического проживания;
- номера телефонов (домашний, мобильный);
-сведения о семейном положении, составе семьи, которые могут понадобиться работодателю для предоставления мне льгот и вычетов, предусмотренных трудовым и налоговым законодательством;
-данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
-сведения, внесенные в трудовую книжку, в том числе о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
-сведения о сумме заработной платы, иных выплат и вознаграждений за два календарных года, предшествующие году приема на работу, и текущий календарный год, на которую были начислены страховые взносы, и о количестве календарных дней, приходящихся в указанном периоде на периоды временной нетрудоспособности, отпуска по беременности и родам, отпуска по уходу за ребенком, период освобождения работника от работы с полным или частичным сохранением заработной платы в соответствии с законодательством Российской Федерации;
-сведения о ранее проведенных медицинских осмотрах (в случае, если они необходимы при приеме на работу);
- номер СНИЛС;
- ИНН;
- информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности на предприятии

Настоящее согласие действует в течение всего срока действия трудового договора. Настоящее согласие может быть в любое время отозвано мной в письменной форме.

_______________/_______________________
(подпись) (расшифровка подписи)


«____»__________________г.
(дата)
Приложение к
Положению о ПЕРСОНАЛЬНЫХ ДАННЫХ.
Форма согласия на распространение
персональных данных неограниченному кругу лиц


Директору ООО «_______»
__________________
от _____________________________________________,
(ФИО сотрудника)
зарегистрированного по адресу:____________________
_______________________________________________,
паспорт_______________________________(серия, №),
выдан «____»____________________________г. (дата)
_____________________________________(кем выдан)
СОГЛАСИЕ НА РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
НЕОГРАНИЧЕННОМУ КРУГУ ЛИЦ
Я, ____________________________________________________________________________,
(фамилия, имя, отчество)
Адрес регистрации по месту жительства _______________________________________________________________________________________________
(почтовый адрес регистрации)

Адрес фактического проживания ______________________________________________________________________________________________________
(почтовый адрес фактического проживания, контактный телефон, адрес электронной почты)

Документ, удостоверяющий личность_________________________________________________________________________________________________
_______________________________________________________________________________________________________
(наименование, номер и серия документа, кем и когда выдан)

В соответствии со ст. 10.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие Работодателю - ООО "__________________________" (далее - оператор) (ОГРН ________________, ИНН ________________), зарегистрированному по адресу: _____________, __________________________________________, на обработку в форме распространения моих персональных данных:
Категории и перечень моих персональных данных на обработку оператором в форме распространение неопределенному кругу лиц (в т. ч. передачу), которых я даю согласие приведены в таблице ниже. Круг лиц, на распространение которым оператору мной дано согласие на распространение моих персональных данных не является исчерпывающим:

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"

Условия и запреты на обработку вышеуказанных персональных данных (ч. 9 ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных") (нужное отметить):
_ не устанавливаю
_ устанавливаю запрет на передачу (кроме предоставления доступа) этих данных оператором неограниченному кругу лиц
_ устанавливаю запрет на обработку (кроме получения доступа) этих данных неограниченным кругом лиц
_ устанавливаю условия обработки (кроме получения доступа) этих данных неограниченным кругом лиц: __________________________________________________________________________________________________________________________________
__________________________________________________________________________________________________________________________________
Условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных:
_ не устанавливаю
_ ________________________________________________________________________________________________________________________________

Настоящее согласие на обработку персональных данных действует с момента его подписания и может быть отозвано мной при представлении Работодателю заявления в простой письменной форме в соответствии с требованиями законодательства Российской Федерации.

________________________/_________________________
(подпись) (расшифровка подписи- ФИО)


«____»__________________г.
(дата)
Приложение к
Положению о ПЕРСОНАЛЬНЫХ ДАННЫХ.
Форма отзыва согласия на обработку
персональных данных, разрешенных для распространения



Директору ООО «___________»



от _____________________________________________,
(ФИО)

зарегистрированного по адресу:____________________

_______________________________________________,

паспорт_______________________________(серия, №),

выдан «____»____________________________г. (дата)

_____________________________________(кем выдан)
ОТЗЫВ СОГЛАСИЯ
на обработку персональных данных, разрешённых для распространения
Я, _______________________________________________________________________________
(фамилия, имя, отчество полностью),
в соответствии с частью 9 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" настоящим отзываю у
Общества с ограниченной ответственностью «____________________»_______
(полное наименование юридического лица или фамилия, имя отчество индивидуального предпринимателя)
ОГРН ______________, ИНН ______________
зарегистрированному по адресу:
________________________,
(почтовый индекс, адрес регистрации юридического лица или индивидуального предпринимателя)
согласие на обработку (в том числе в электронной форме) моих персональных данных, разрешённых для распространения ранее (или указать перечень данных, обработка которых подлежит прекращению ______________________________________).

Прошу прекратить обработку моих персональных данных с момента поступления настоящего требования.
________________________/_________________________
(подпись) (расшифровка подписи-ФИО)


«____»__________________г.
(дата)
Приложение к
Положению о ПЕРСОНАЛЬНЫХ ДАННЫХ.
Форма согласия родителя на обработку
Персональных данных несовершеннолетнего
В соответствии с требованиями статьи 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных",
Я, ___________________________________________________________________________,
паспорт______________________________________________________________________,
(серия, номер) (когда и кем выдан)
Адрес регистрации: ____________________________________________________________,
являюсь законным представителем несовершеннолетнего
____________________________________________________________________________
(ФИО и реквизиты документа, удостоверяющего личность несовершеннолетнего)
_____________________________________________________________________________,
на основании п. 1 ст. 64 Семейного кодекса РФ даю свое согласие на обработку персональных данных моего несовершеннолетнего ребенка, относящихся исключительно к перечисленным ниже категориям персональных данных: фамилия, имя, отчество; пол; дата рождения, место рождения; тип документа, удостоверяющего личность; данные документа, удостоверяющего личность, гражданство.
Настоящее согласие предоставляется мной на осуществление действий в отношении персональных данных моего несовершеннолетнего ребенка, которые необходимы для организации, проведения, подведение итогов акции «Отличный дневник», оформления договора дарения на новогодние подарки и билеты на представления, в соответствии с действующими положениями, а также для предоставления налоговых вычетов (при наличии детей в возрасте до 18 лет, а также учащихся очной формы обучения в учебных заведениях в возрасте до 24 лет), предоставление льгот и гарантий, предусмотренных положением о единой социальной политике.
ООО «АСПЭК-Авто» (далее - оператор) имеет право на осуществление действий в отношение персональных данных, которые необходимы или желаемы для достижение указанных выше целей включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу третьим лицам для осуществления действий по обмену информацией, обезличивание, блокирование персональных данных, а также осуществление любых иных действий, предусмотренных действующим законодательством Российской Федерации.
Я проинформирован, что оператор гарантирует обработку персональных данных в соответствии с действующим законодательством Российской Федерации как неавтоматизированным, так и автоматизированным способами. Передача персональных данных разрешается на срок действия трудового договора.
Данное согласие действует до достижения целей обработки персональных данных или в течение срока хранения информации. Данное согласие может быть отозвано в любой момент по моему письменному заявлению.
Я подтверждаю, что, давая такое согласие, я действую по собственной воле в интересах своего несовершеннолетнего ребенка.

"__" ____________ 20___ г. ____________/______________________________/

СОГЛАСИЕ РОДИТЕЛЯ (ЗАКОННОГО ПРЕДСТАВИТЕЛЯ)
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНЕГО
Приложение
к положению о персональных данных
Реестр должностных лиц Общества, имеющих право доступа к персональным данным работников.
Должностные лица Организации, имеющие право доступа к персональным данным работников:
- руководитель Организации - директор;
-должностное лицо, на которое приказом директора Организации, возложена ответственность за организацию и ведение кадрового делопроизводства;
-должностное лицо, на которое приказом директора Организации, возложена ответственность за и ведение бухгалтерского учета к тем данным, которые необходимы для выполнения ими конкретных функций;
- руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
- при переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения;
-работник – носитель данных.
Приложение к
Положению о ПЕРСОНАЛЬНЫХ ДАННЫХ.
Правила рассмотрения запросов.
1. Настоящими Правилами рассмотрения запросов субъектов персональных данных или их представителей в Предприятии определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее – запросы).
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных» (далее – Федеральный закон), Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» и другими нормативными правовыми актами.
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (часть 7 статьи 14 Федерального закона), в том числе содержащей:
- подтверждение факта обработки персональных данных в Предприятии;
- правовые основания и цели обработки персональных данных;
- цели и применяемые в Предприятии способы обработки персональных данных;
- наименование и место нахождения Предприятии, сведения о лицах (за исключением работников Предприятия), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению руководителя, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
5. Субъект персональных данных вправе требовать от Предприятия уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Сведения, указанные в части 7 статьи 14 Федерального закона, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7. Сведения, указанные в части 7 статьи 14 Федерального закона, предоставляются субъекту персональных данных или его представителю Предприятия при обращении либо при получении запроса субъекта персональных данных или его представителя.
8. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя; сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с Предприятием (номер заявки на возврат, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Предприятии; подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9. Рассмотрение запросов является служебной обязанностью уполномоченных должностных лиц, в чьи обязанности входит обработка персональных данных.
10. Должностные лица Предприятия обеспечивают:
- объективное, всестороннее и своевременное рассмотрения запроса;
- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
- направление письменных ответов по существу запроса.
Ведение делопроизводства по запросам осуществляется назначенным сотрудником Предприятия.
Все поступившие запросы регистрируются в день их поступления. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации.
11. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае если сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Предприятие или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в Предприятие или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
12. Предприятие вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным.
13. Прошедшие регистрацию запросы в тот же день докладываются руководителю Предприятия либо лицу, его заменяющему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.
14. Руководитель Предприятия, и другие должностные лица при рассмотрении и разрешении запроса обязаны:
- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
- принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
- сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.
15. Руководитель Предприятия обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
16. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя уполномоченные должностные лица Предприятия обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
17. Предприятие обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
18. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Предприятия обязаны внести в них необходимые изменения.
19. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица { Предприятия обязаны уничтожить такие персональные данные.
20. Предприятие обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
21. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Предприятия обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
22. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Предприятия обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
23. В случае подтверждения факта неточности персональных данных уполномоченные должностные лица Предприятия на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
24. В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица Предприятия в срок, не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица Предприятия в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Предприятия обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
25. Для проверки фактов, изложенных в запросах при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
26. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудниками Предприятия действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются руководителю Предприятия.
27. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
28. Ответы на запросы печатаются на бланке установленной формы и регистрируются за теми же номерами, что и запросы.
29. Руководитель Предприятия осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.
30. Руководитель Предприятия осуществляет контроль за работой с запросами и организацией их приема как лично, так и через своих заместителей. На контроль берутся все запросы.
31. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям.
32. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
Приложение №1
К Правилам рассмотрения запросов субъектов персональных данных или их представителей
Сводная таблица действий в ответ запросы по персональным данным
Приложение № 2
К Правилам рассмотрения запросов субъектов персональных данных или их представителей
ФОРМЫ ОТВЕТА
на запрос субъекта персональных данных
о наличии и на ознакомление с ПД
Г-ну/Г-же _____________
На Ваш запрос от «___» ________ 20___ г. относительно обработки Ваших персональных данных могу сообщить следующее.
Предприятие в период с « » ________ 20___ г. по настоящее время обрабатывает в ходе оказания финансовых услуг (в рамках договора № _____ от « » ________ 20___ г.) следующие полученные от Вас персональные данные:
{или}
Предприятие в период с «__» ___________________ 20__ г. по настоящее время обрабатывает следующие полученные от Вас персональные данные:
____________________________________________________________________________
____________________________________________________________________________
с целью _________________________________________________________________________.
Эта информация обрабатывается в соответствии с законодательством РФ о персональных данных, в Ваших интересах и с Вашего согласия. Обработка данных включает хранение, использование и, в случае необходимости, передачу третьим сторонам. Обработкой Ваших персональных данных занимаются сотрудники Предприятия, ознакомленные с обязанностями, возложенными на них в связи с обработкой Ваших персональных данных, и давшие подписку об их неразглашении. Никто другой к обработке Ваших персональных данных не допускается. Ваши персональные данные будут обрабатываться вплоть до достижения указанных целей.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.
С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })

{или}

Г-ну/Г-же _____________

На Ваш запрос от «____» ___________ 20___ г. относительно обработки Ваших персональных данных могу сообщить следующее.
Предприятие не осуществляет обработки Ваших персональных данных.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })

Приложение № 3
К Правилам рассмотрения запросов субъектов персональных данных или их представителей
ФОРМЫ ОТВЕТА
на запрос субъекта персональных данных
на уточнение ПД
Г-ну/Г-же _____________
На Ваш запрос от «____» ___________ 20___ г. относительно уточнения Ваших персональных данных могу сообщить следующее.
Предприятием были внесены изменения в Ваши персональные данные:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятие })

{или}

Г-ну/Г-же _____________

На Ваш запрос от «____» ___________ 20___ г. относительно уточнения Ваших персональных данных могу сообщить следующее.
Предприятие не может внести изменения в Ваши персональные данные, так как Вами не было предоставлено необходимые документы, подтверждающие запрашиваемые Вами изменения.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })
Приложение № 4
К Правилам рассмотрения запросов субъектов персональных данных или их представителей
ФОРМЫ ОТВЕТА
на запрос субъекта персональных данных
на уничтожение ПД
Г-ну/Г-же _____________
На Ваш запрос от «____» ___________ 20___ г. относительно уничтожения Ваших персональных данных могу сообщить следующее.
Предприятиембыли уничтожены Ваши персональные данные:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })

{или}

Г-ну/Г-же _____________

На Ваш запрос от «____» ___________ 20___ г. относительно уничтожения Ваших персональных данных могу сообщить следующее.
Предприятиене может уничтожить Ваши персональные данные, так их обработка осуществляется согласно требованиям следующих законодательных актов: ____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })
Приложение № 5
К Правилам рассмотрения запросов субъектов персональных данных или их представителей
ФОРМЫ ОТВЕТА
на запрос субъекта персональных данных
с отзывом согласия на обработку ПД
Г-ну/Г-же _____________

На Ваш запрос от «___» ___________ 20___ г. относительно отзыва согласия на обработку Ваших персональных данных могу сообщить следующее.
Предприятиембыли прекращена обработка и уничтожены Ваши персональные данные:
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })

{или}

Г-ну/Г-же _____________

На Ваш запрос от «___» ________ 20___ г. относительно отзыва согласия на обработку Ваших персональных данных могу сообщить следующее.
Предприятиене может прекратить обработку и уничтожить Ваши персональные данные, так их обработка осуществляется согласно требованиям следующих законодательных актов:
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })
Приложение № 6
К Правилам рассмотрения запросов субъектов персональных данных или их представителей
ФОРМЫ УВЕДОМЛЕНИЯ
субъекта персональных данных,
его законного представителя или
уполномоченного органа
по защите прав субъектов персональных данных
при выявлении недостоверности ПДн
Г-ну/Г-же _____________
В связи с выявлением недостоверности Ваших персональных данных (персональных данных г-на/г-жи _____________________________________) могу сообщить следующее.
Предприятиембыли внесены изменения в Ваши персональные данные (персональные данные г-на/г-жи _____________________________________):
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })

{или}

Г-ну/Г-же _____________

На Ваш запрос от «___» ___________ 20___ г. относительно недостоверности Ваших персональных данных (персональных данных г-на/г-жи _____________________________) могу сообщить следующее.
Предприятиене может внести изменения в Ваши персональные данные (персональные данные г-на/г-жи ____________________________________________), так как факт недостоверности не подтвержден и не было предоставлено необходимых документов, подтверждающих недостоверность персональных данных.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________
(дата, подпись, печать {Предприятия })
Приложение № 7
К Правилам рассмотрения запросов субъектов персональных данных или их представителей
ФОРМЫ УВЕДОМЛЕНИЯ
субъекта персональных данных,
его законного представителя или
уполномоченного органа
по защите прав субъектов персональных данных
при выявлении неправомерности действий с ПДн
Г-ну/Г-же _____________
В связи с выявлением неправомерности действий с Вашими персональными данными (персональными данными г-на/г-жи ________________________________________) могу сообщить следующее.
Предприятием были уничтожены Ваши персональные данные (персональные данные г-на/г-жи _________________________________________________):
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })

{или}

Г-ну/Г-же _____________

На Ваш запрос от «___» ____________ 20___ г. относительно неправомерности действий с Вашими персональными данными (персональными данными г-на/г-жи ________________________________________) могу сообщить следующее.
Предприятиене может уничтожить Ваши персональные данные (персональные данные г-на/г-жи _________________________________________________), так как факт неправомерности действий с Вашими персональными данными (персональными данными г-на/г-жи ________________________________________) не подтвержден и Вами не было предоставлено необходимых документов, подтверждающих неправомерность действий с Вашими персональными данными (персональными данными г-на/г-жи ________________________________________).
Предприятие осуществляет обработку Ваших персональных данных (персональных данных г-на/г-жи ________________________________________) согласно требованиям следующих законодательных актов:
____________________________________________________________________________
____________________________________________________________________________
___________________________________________________________________________.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })
Приложение № 9
К Правилам рассмотрения запросов субъектов персональных данных или их представителей
ФОРМЫ УВЕДОМЛЕНИЯ
субъекта персональных данных,
его законного представителя или
уполномоченного органа
по защите прав субъектов персональных данных
при достижении целей обработки ПДн
Г-ну/Г-же _____________

В связи с достижением целей обработки Ваших персональных данных (персональных данных г-на/г-жи ________________________________________) могу сообщить следующее.
Предприятием были прекращена обработка и уничтожены Ваши персональные данные (персональных данных г-на/г-жи ________________________________________):
____________________________________________________________________________
____________________________________________________________________________
___________________________________________________________________________.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })

{или}

Г-ну/Г-же _____________

На Ваш запрос от «____» ____________ 20___ г. относительно достижения целей обработки Ваших персональных данных (персональных данных г-на/г-жи ________________________________________) могу сообщить следующее.
Предприятие не может прекратить обработку и уничтожить Ваши персональные данные (персональные данные г-на/г-жи ________________________________________), так как их обработка осуществляется согласно требованиям следующих законодательных актов:
____________________________________________________________________________
____________________________________________________________________________
___________________________________________________________________________.
Если у Вас есть вопросы, связанные с обработкой Ваших персональных данных (персональных данных г-на/г-жи ________________________________________), пожалуйста, обращайтесь.

С уважением,
____________________________ (должность)
____________________________ (ФИО)
тел. ________________________

(дата, подпись, печать {Предприятия })

Правила обработки персональных данных без использования средств автоматизации

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если обработка персональных данных осуществляется без помощи средств вычислительной техники.

1.2. Категории обрабатываемых персональных данных и категории субъектов персональных данных, а также цели обработки персональных данных указаны в утвержденном положении о защите и обработке персональных данных.

1.3. В Предприятии не обрабатываются биометрические и специальные категории персональных данных. В случае начала обработки данных категорий персональных данных, к настоящим Правилам разрабатывается и вводится в действие Приложение «Специальные категории персональных данных, обрабатываемых Предприятием».

1.4. Обработка персональных данных без использования средств автоматизации осуществляется на законной и справедливой основе. Обработка персональных данных без использования средств автоматизации не может быть использована Предприятием или его работниками в целях причинения материального и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

1.5. Настоящие правила обработки персональных данных без использования средств автоматизации (далее – Правила) разработаны и утверждены в целях обеспечения безопасности персональных данных, обрабатываемых в Предприятии без использования средств автоматизации, и исполнения требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

1.6. Все работники Предприятия, допущенные к неавтоматизированной обработке персональных данных, должны быть ознакомлены с настоящими Правилами под роспись.

2. ОСОБЕННОСТИ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

2.1. В Предприятии без использования средств автоматизации обрабатываются персональные данные работников, соискателей и контрагентов. Обрабатываемые категории персональных данных для различных категорий субъектов установлены в Положении о защите и обработке персональных данных.

2.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.4. К обработке персональных данных без использования средств автоматизации допущены только те работники, которые указаны в утвержденных в перечнях лиц, допущенных к обработке персональных данных.

2.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, подписывают соглашение о неразглашении персональных данных.

2.6. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;
  • типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
  • типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

2.7. Журналы (реестры, книги), содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию Предприятия, не ведутся. В случае, если в ходе деятельности предприятия возникла или возникнет необходимость в их ведении, в настоящее Положение вносятся изменения или дополнения по порядку ведения данных журналов.

2.8. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

  • при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
  • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

2.9. Для уничтожения персональных данных на материальных носителях достаточным принимается приказ или распоряжение руководителя Предприятия, результат уничтожения может быть оформлен в виде распоряжения либо акта.

2.10. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

3.1. С целью обеспечения безопасности персональных данных при их обработке без использования средств автоматизации приказом руководителя Предприятия определены места хранения персональных данных, а также назначены ответственные за обеспечение конфиденциальности персональных данных при их хранении.

3.2. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях (разные места хранения для разных категорий субъектов персональных данных).

3.3. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, определены в Положении о защите и обработке персональных данных.
© All Rights Reserved. Sigma Park
Design by Picom
Made on
Tilda