ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «РМ-ЛОГИСТИКА» I. Общие положения
1. Положение об обработке и защите персональных данных (далее Положение) разработано в соответствии со пп.2 ч.1 статьи 18.1 Федерального закона от 27 июля 2006 года №152 «О персональных данных» и определяет порядок сбора, хранения, передачи и иных операция (действий) с персональными данными во ООО "РМ-Логистика" (далее Общество), устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность руководителей структурных подразделений и работников Общества. 2. Целями настоящего Положения являются: - определение порядка обработки персональных данных; - определение принципов обработки персональных данных; - определение условий обработки и способов обеспечения безопасности персональных данных; - определение прав субъектов персональных данных, прав и обязанностей работников Общества при осуществлении обработки персональных данных. 3. Нормативно-правовые акты, в соответствии с которыми разработано настоящее Положение: 1) Трудовой кодекс Российской Федерации от 30 декабря 2001 года №197-ФЗ; 1) Федеральный закон от 27 июля 2006 года №152 "О персональных данных"; 2) Постановление Правительства Российской Федерации от 01 ноября 2012 года №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; 3) Постановление Правительства Российской Федерации от 15 сентября 2008 года №687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"; 4) Приказ ФСТЭК России от 18 февраля 2013 года №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; 5) "Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", утвержденный Приказом Министерства Культуры Российской Федерации №558 от 25 августа 2010 года. 4. Действие настоящего Положения распространяется на персональные данные, обрабатываемые Обществом как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств. 5. Все работники Общества в обязательном порядке должны быть ознакомлены с настоящим Положением под подпись в «Журнале учета ознакомления должностных лиц с правилами обеспечения безопасности персональных данных» (Приложение №1). 6. Используемые сокращения: - ДМС - добровольное медицинское страхование - ИНН - индивидуальный номер налогоплательщика - ОМС - обязательное медицинское страхование - ПФР - Пенсионный фонд Российской Федерации - ФНС - Федеральная налоговая служба - ФСС - Фонд социального страхования 7. Используемые термины и определения - Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. - Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. - Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). - Субъект персональных данных - физическое лицо, обладающее персональными данными прямо или косвенно его определяющими. - Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 8. Настоящее Положение вступает в силу с момента его утверждения директором Общества и действует бессрочно до замены его новым Положением. 9. Пересмотр Положения производится в следующих случаях: 1) при изменении процессов и технологий обработки персональных данных в Обществе; 2) по результатам проверок органа по защите прав субъектов персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности персональных данных; 3) при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности персональных данных; 4) в случае выявления существенных нарушений по результатам внутренних проверок системы защиты персональных данных. 10. Ответственным за пересмотр данного Положения является работник Общества, назначенный ответственным за организацию обработки персональных данных. Измененное Положение утверждается приказом директора Общества. II. Обработка персональных данных 1. Принципы обработки персональных данных 11. Обработка персональных данных в Обществе осуществляется на основании следующих принципов: - обработка персональных данных осуществляется на законной и справедливой основе; - обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; - не допускается объединение баз данных, содержащих персональных данные, обработка которых осуществляется в целях, несовместных между собой; - обработке подлежат только те персональные данные, которые отвечают целям их обработки; - содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки; - при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки; - персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. 2. Общий порядок обработки 12. Приказом директора Общества назначается лицо, ответственное за организацию обработки персональных данных. 13. Обработка персональных данных в структурных подразделениях Общества ведётся в объёме, определяемом положениями о подразделениях и соответствует целям обработки. Работники Общества допускаются к обработке персональных данных в объёме, определяемом должностными обязанностями. 14. При определении объема и содержания, обрабатываемых персональных данных Общество руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» и другими нормативными актами. Объем и содержание, обрабатываемых персональных данных, способы обработки персональных данных, должны соответствовать целям обработки персональных данных. 15. Все документы, содержащие персональные данные, должны быть уничтожены в соответствии с установленным порядком по достижении заявленных целей обработки персональных данных, в случае истечения срока обработки персональных данных, установленного при сборе ПДн, а также в случае отзыва согласия субъекта персональных данных, если отсутствуют иные законные основания обработки персональных данных. 16. в Обществе ведётся обработка персональных данных в следующих информационных системах персональных данных: 1) ИСПДн 1С Предприятия Конфигурация «Зарплата и управление персоналом 3»; 3. Получение (сбор) персональных данных 17. Общество осуществляет сбор следующих персональных данных в ИСПДн 1С: Предприятия Конфигурация «Зарплата и управления персоналом 3»: - фамилия имя отчество; - фотография (копия); - сведения о документе, удостоверяющем личность; - информация о дате рождения; - информация о месте жительства; - паспортные данные (в том числе иностранного гражданина и принимающей стороны в РФ); - должность (профессия); - номер страхового свидетельства государственного пенсионного страхования; - номер ИНН; - номер лицевого счета в банке; - тарифная ставка (оклад); - семейное положение; - социальное положение; - группа инвалидности; - сведения о детях и родственниках; - сведения о воинском учете; - сведения об образовании; - сведения о трудовой деятельности; - информация о доходах; - сведения об отчислениях в Федеральную налоговую службу; - сведения об отчислениях в Пенсионный фонд РФ; - сведения о начислении заработной платы и других выплатах; 18. Субъектами персональных данных являются: - работники (в том числе уволенные); - соискатели (кандидаты на должность); - члены семей работников; - клиенты Общества; - посетители; - исполнители по договорам возмездного оказания услуг. 19. Состав персональных данных: Самостоятельно предоставляемые пользователем данные при заполнении формы обратной связи на сайте: Имя; Номер телефона; E-mail; Текст сообщения пользователя и другая предоставляемая пользователем информация. Автоматически собираемые данные: IP-адрес, данные файлов Сookie; информация о браузере пользователя, технические характеристики оборудования и программного обеспечения, используемых пользователем; дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация. 20. Персональные данные, указанные в пункте 19 положения обрабатываются в целях идентификации пользователей, обеспечения исполнения пользовательского соглашения, предоставления пользователю персонализированных сервисов и контента, улучшения качества работы сайта и предоставления сервисов, таргетирования рекламных материалов, проведения на основе обезличенных персональных данных статистических и иных исследований. 21. Обработка персональных данных пользователей производится с их согласия. Пользователь, заполняющий форму обратной связи на сайте rm-logistika.ru с целью получения необходимой информации, тем самым выражает свое полное согласие в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» на автоматизированную, а также без использования средств автоматизации, обработку и использование своих персональных данных. 22. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в общедоступных источниках (СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах). 23. Для каждой категории субъектов персональных данных определены цели обработки их персональных данных. 24. Целями обработки персональных данных работников Общества являются: прием на работу новых работников; оформление карточки Т -2; увольнение работников; выдача постоянных пропусков работникам Общества; осуществление воинского учета в Обществе; оформление лицензий, свидетельств о допуске к работе и обучение работников Общества; оформление командировок; расчет и выплата заработной платы; перечисление заработной платы на банковские лицевые счета; ведение договоров займа; оформление договоров страхования от несчастных случаев; сдача отчетности в ПФР, ФНС. Целями обработки персональных данных уволенных работников Общества являются: -ведение кадрового делопроизводства; - сдача отчетности в ПФР, ФНС. 25. Целями обработки персональных данных родственников работников Общества являются: - учет налоговых льгот при начислении заработной платы; - исполнение обязанностей работодателя при возникновении несчастного случая. 26. Целью обработки персональных данных исполнителей по договорам возмездного оказания услуг является заключение и исполнение обязательств по договорам возмездного оказания услуг. 27. Целью обработки персональных данных посетителей Общества является регистрация и учет посетителей, организация встреч. 28. Персональные данные следует получать лично у субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должна сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение. 29. Общество освобождается от обязанности предоставить субъекту персональных данных указанные выше сведения в случаях, если: 1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором; 2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; 3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; 4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; 5) предоставление субъекту персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц. 30. Запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и Постановлениями Правительства РФ. 31. Запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции. 32. Общество не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных, философских и иных убеждениях, а также частной жизни, без его согласия в письменной форме. Общество не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом РФ или иными федеральными законами. 33. При принятии решений, затрагивающих интересы субъекта персональных данных, Общество не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки. 4. Доступ к персональным данным 34. Лица, доступ которых к персональным данным, обрабатываемым в информационных системах Общества, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании перечня, утвержденного директором Общества, и только после подписания письменного согласия о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки (Приложение №2). 35. Работники, имеющие доступ к персональным данным, имеют право получать и обрабатывать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций. 36. В случае если Общество пользуется услугами юридических и физических лиц на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным, обрабатываемым в Обществе, то соответствующие данные предоставляются Обществом только после подписания с ними соглашения о неразглашении конфиденциальной информации или включения в договоры пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных. 37. Государственным органам, осуществляющим функции контроля (надзора) предоставляют права доступа к персональным данным, обрабатываемым в Обществе только в сфере их компетенции и в объеме, предусмотренном действующим законодательством. 38. Субъект персональных данных, данные о котором обрабатываются в Обществе, имеет право на свободный доступ к своим персональным данным, получение копий своих персональных данных (за исключением случаев, предусмотренных федеральным законом) на основании его письменного запроса. 39. Общество обязана в порядке, предусмотренном Федеральным законом от 27 июля 2006 года №152 «О персональных данных», сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя, либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя. 5. Обработка персональных данных без использования средств автоматизации 40. Работники Общества, осуществляющие обработку персональных данных без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. 41. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). 42. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель. 43. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия: 1) типовая форма или связанные с ней документы (инструкции по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Общества, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Обществом способов обработки персональных данных; 2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных; 3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; 4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. 44. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию Общества, или в иных аналогичных целях, должны соблюдаться следующие условия: 1) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом Общества, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию Общества без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; 2) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; 3) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию Общества. 45. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, предпринимаются меры по обеспечению раздельной обработки персональных данных, в частности: 46. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; 47. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. 48. Данные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными. 49. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. 50. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы можно было определить места хранения персональных данных (материальных носителей). 6. Передача персональных данных 51. Запрещается передавать персональные данные работников Общества третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях установленных законодательством РФ. 52. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи, а также представителям субъекта только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ. 53. Запрещается сообщать персональные данные в коммерческих целях без его письменного согласия субъекта персональных данных. 54. Документы, содержащие персональные данные субъекта, могут быть отправлены в сторонние организации через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений. 55. Допускается передача персональных данных субъекта без получения его согласия между структурными подразделениями внутри Общества в объеме, необходимом для выполнения подразделениями своих функций. Лица, получающие персональные данные, должны быть предупреждены, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. 56. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. 57. Разрешается передавать персональные данные представителям субъектов персональных данных в порядке, установленном существующим законодательством, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций. 58. Трансграничная передача персональных данных осуществляется в соответствии с Федеральным законом от 27 июля 2006 года №152 «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. 59. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: 60. наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; 61.предусмотренных международными договорами Российской Федерации; 62. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства; 63. исполнения договора, стороной которого является субъект персональных данных; 64. защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных. 7. Порядок уничтожения персональных данных 65.Уничтожение документов, содержащих персональные данные, производится: 1) в случае отзыва согласия субъекта персональных данных, если отсутствуют иные законные основания обработки персональных данных; 2) по достижении целей их обработки согласно номенклатуре дел и документов; 3) по достижении окончания срока хранения персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон; 4) в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных. 66. Уничтожение персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных). 67. Уничтожение материальных носителей с персональными данными осуществляется согласно регламенту организации обращения с защищаемыми носителями информации. 68. Уничтожение производится по мере необходимости, в зависимости от объемов, накопленных для уничтожения документов. Перечень подготовленных для уничтожения материальных носителей и информации на материальных носителях уничтожается утвержденной на предприятии Комиссией по уничтожению персональных данных. Комиссии по уничтожению персональных данных оформляет акт уничтожения персональных данных. Накапливаемые для уничтожения документы, копии документов, черновики, содержащие персональные данные, должны храниться отдельно. 8. Особенности обработки персональных данных работников Общества 69. В личное дело работника вносятся его персональные данные и иные сведения, связанные с поступлением на работу, ее прохождением, увольнением и необходимые для обеспечения деятельности Общества. 70. Личные дела работников находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. 71.К личному делу приобщаются: -заявление о приеме на работу; -копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются); -копии приказов о переводах, перемещениях, поощрениях, присвоении почетных званий, присуждении государственных премий, наложении дисциплинарных взысканий до снятия или отмены (если таковые имеются); -экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений о внесении изменений и дополнений в трудовой договор; -данные аттестаций. 72.В обязанности отдела кадров Общества, осуществляющего ведение личных дел работников, входит: -приобщение документов к личным делам работников; -обеспечение сохранности личных дел; -обеспечение конфиденциальности сведений в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», другими федеральными законами, иными нормативными правовыми актами Российской Федерации, а также в соответствии с настоящим Положением. 73. Личное дело работника ведется на протяжении всей трудовой деятельности работника в Обществе. Персональные данные работников также обрабатываются в электронном виде в информационной системе персональных данных 1С: Предприятие, Конфигурация «Зарплата и управление персоналом 3». 74. Сроки хранения персональных данных работников определяются на основании «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным Приказом Министерства Культуры Российской Федерации №558 от 25 августа 2010 г. В частности, личные дела руководителей организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно, а иных работников - в течение 75 лет. 9. Обязанности лиц, допущенных к обработке персональных данных 75.Работники, допущенные к обработке персональных данных, обязаны: - знать и выполнять требования настоящего Положения; - осуществлять обработку персональных данных в целях, определенных настоящим Положением; -знакомиться только с теми персональными данными, к которым предоставлен доступ для выполнения их трудовых обязанностей; -хранить в тайне известные им сведения о персональных данных, информировать своего непосредственного руководителя о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним; -предупреждать лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены; -выполнять требования по защите полученных персональных данных; -соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты; -предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных согласно регламенту по управлению инцидентами информационной безопасности. 10.Обеспечение безопасности персональных данных 76. Защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается Обществом в установленном действующем законодательством и локальными актами Общества порядке, выполнением комплекса организационных и технических мер, обеспечивающих их безопасность. 77. Меры по обеспечению информационной безопасности персональных данных при их обработке распространяются как на персональные данные, зафиксированные на бумажных носителях, так и на персональные данные в электронном виде. 78. Получение и обработка персональных данных производится уполномоченными лицами после подписания субъектом персональных данных согласия (Приложения №3-4) в случаях, если это требуется законодательством. 11.Меры по обеспечению безопасности персональных данных 79. Хранение персональных данных в структурных подразделениях Общества, работники которых имеют допуск к персональным данным, осуществляется в порядке, исключающем к ним доступ третьих лиц. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование. 80. Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц. 81. В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся документы с персональными данными, а также помещений, где находятся средства вычислительной техники, предназначенные для обработки персональных данных, находятся на хранении у ответственных работников. 82. По окончании рабочего времени помещения, предназначенные для обработки персональных данных, должны быть закрыты на ключ, бесконтрольный доступ в такие помещения должен быть исключен. 83. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу. 84. Доступ к информационным системам персональных данных защищается системой паролей. Доступ с мобильных устройств к ресурсам Общества запрещен. В Обществе запрещено подключение к сети Интернет с использованием технологии беспроводного доступа. 85. При взаимодействии с информационными системами сторонних организаций (внешние информационные системы) обеспечение защиты ПДн осуществляется соответствующими организациями (инициаторами передачи). 12.Порядок осуществления взаимодействия с третьими лицами, сопровождающегося предоставлением персональных данных 86. Общество вправе поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных. При этом в согласие включаются: наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества на основании заключаемого с этим лицом договора. 87. В случае поручения Обществом обработки персональных данных третьему лицу, данное лицо обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных». В свою очередь Общество должна включить в поручение перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных». 88. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Обществом. При обработке персональных данных уполномоченное лицо обязано принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В соответствии со ст.6 Федерального закона №152-ФЗ от 27.07.2006 года «О персональных данных» в случае поручения обработки персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество, которое должно обеспечить контроль за принимаемыми уполномоченным лицом мерами по обеспечению безопасности персональных данных. 89. Помимо поручения обработки персональных данных Общество может передавать персональные данные третьим лицам. Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия субъекта персональных данных и только с целью исполнения обязанностей перед субъектом персональных данных в рамках договора, либо, когда такая обязанность у Общества наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае Общество ограничивает передачу персональных данных запрошенным объемом. В договорах с третьими лицами должна быть предусмотрена обязанность данных лиц обеспечивать конфиденциальность персональных данных, полученных в процессе взаимодействия. 90. Любое соединение с внешней информационной системой должно быть согласовано с Ответственным за обеспечение безопасности персональных данных. Любой доступ должен быть ограничен и протестирован на возможные уязвимости. Необходимо применять принцип многоуровневой защиты (несколько уровней брандмауэров, отключение протоколов и т.д.). Внешний доступ должен также отвечать следующим правилам: 91. третья сторона должна подписать обязательства по обеспечению информационной безопасности своей части сети, соединенной с сетью Общества; 92.должно быть обеспечено управление доступом и аутентификация. 93. При передаче персональных данных в электронном виде третьим лицам по открытым каналам связи Общество обеспечивает все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно- методических документов в области защиты персональных данных. Передача персональных данных по незащищенным каналам связи запрещается. 13.Права субъектов на защиту своих персональных данных 94.В целях обеспечения защиты своих прав субъект персональных данных имеет право: 1) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной); 2) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом; 3) определять своих представителей для защиты своих персональных данных; 4) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона (субъект персональных данных, при отказе Общества или уполномоченного ей лица исключить или исправить персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения); 5) требовать от Общества или подотчетного ему лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них; 6) обжаловать в суде любые неправомерные действия или бездействие руководителя организации или уполномоченного им лица при обработке и защите персональных данных; 7) вносить предложения по мерам защиты персональных данных. 14.Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных 95. Должностные лица, имеющие доступ к персональным данным несут личную ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации. 96. Каждый работник Общества, получающий для работы содержащий персональные данные документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации. 97. Работники Общества, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение. 98. Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц. 99. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом РФ дисциплинарные взыскания. 100. Ответственность за соблюдение вышеуказанного порядка обработки персональных данных несет работник, а также руководитель структурного подразделения, осуществляющего обработку персональных данных. 101. Должностные лица, в обязанность которых входит обработка персональных данных работников Общества, обязаны обеспечить каждому работнику, при необходимости, возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях РФ. 102. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. 15.Контроль выполнения требований настоящего положения 103. Повседневный контроль порядка обращения с персональными данными осуществляют руководители тех структурных подразделений Общества, в которых обрабатываются персональные данные субъектов. 104. Периодический контроль выполнения настоящего Положения возлагается на должностное лицо, назначенное директором Общества ответственным за организацию обработки персональных данных.
Приложение № 1 к Положению об обработке персональных данных ООО "РМ-Логистика"
ФОРМА ЖУРНАЛ УЧЕТА ОЗНАКОМЛЕНИЯ ДОЛЖНОСТНЫХ ЛИЦ С ПРАВИЛАМИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО "РМ-ЛОГИСТИКА"
1
2
3
4
5
№п/п
Наименование документа/обучения
Дата
Должность и ФИО работника, ознакомившегося с документом/прошедшего обучение
Подпись
Приложение № 2 к Положению об обработке персональных данных ООО "РМ-Логистика "
ОБЯЗАТЕЛЬСТВО О НЕРАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, _________________________________, паспорт серии ________, номер _______________, выданный______________________________ "___"___________ ____ года, понимаю, что в рамках выполнения своих должностных обязанностей получаю доступ и осуществляю обработку персональных данных: -работников (в том числе уволенных) ООО "РМ-Логистика"; -родственников работников ООО " РМ-Логистика"; -соискателей вакансий (кандидатов на должности) ООО " РМ-Логистика"; -клиентов ООО " РМ-Логистика "; -посетителей территории ООО " РМ-Логистика "; -исполнителей по договорам возмездного оказания услуг. Я понимаю, что разглашение персональных данных может нанести ущерб субъектам персональных данных, как прямой, так и косвенный. В связи с этим, даю обязательство о соблюдении конфиденциальности указанных сведений и соблюдении всех требований организационно-распорядительной документации ООО " РМ-Логистика " по вопросам обработки и защиты персональных данных. Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я могу быть привлечен(а) к дисциплинарной и материальной ответственности в порядке, установленном в Трудовом кодексе РФ и иными федеральными законами, а также привлечен(а) к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. «___» __________ 20__ г. ________________________ /_________________________ (подпись) (расшифровка подписи)
Приложение № 3 к Положению об обработке персональных данных ООО " РМ-Логистика "
ФОРМА СОГЛАСИЯ РАБОТНИКА ОБЩЕСТВА НА ОБРАБОТКУ И ПЕРЕДАЧУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, ________________________________________________________________________________, (ФИО) дата рождения _________________ документ, удостоверяющий личность, (число, месяц, год) _____________________________________________________________________________ (наименование, номер и серия документа, кем и когда выдан) адрес регистрации по месту жительства _________________________________________ (почтовый адрес) адрес фактического проживания _______________________________________________ (почтовый адрес фактического проживания, контактный телефон) в соответствии с Федеральным законом от 27 июля 2006 года № 152 «О персональных данных» даю согласие ООО " РМ-Логистика ", адрес регистрации г. Ижевск, ул. М. Горького, 88 адрес фактического нахождения: 426063, Удмуртская республика, г. Ижевск, ул. М. Горького, 88, на обработку моих персональных данных, а именно: -фамилия имя отчество; -фотография -сведения о документе, удостоверяющем личность; -контактная информация (телефон); -информация о дате и месте рождения; -информация о месте жительства; -должность (профессия); -данные разрешения на временное проживание; -номер страхового свидетельства государственного пенсионного страхования; -номер ИНН (при наличии); -номер лицевого счета в банке; -тарифная ставка (оклад); -семейное положение; -социальное положение; -группа инвалидности; -сведения о детях и родственниках; -сведения о воинском учете; -сведения об образовании; -сведения о повышении квалификации; -сведения о трудовой деятельности; -сведения об отчислениях в Пенсионный фонд РФ, Федеральную налоговую службу; -информация о доходах; -информация о начислении заработной платы и других выплатах; -номер и дата приказа о приеме на работу; Целями обработки персональных данных являются: -прием на работу новых работников; -оформление карточки Т -2; -увольнение работников; -выдача постоянных пропусков работникам Общества; -осуществление воинского учета в Обществе; -оформление лицензий, свидетельств о допуске к работе и обучение работников Общества; -оформление командировок; -расчет и выплата заработной платы; -перечисление заработной платы на банковский лицевой счет; -ведение договоров займа; -сдача отчетности в ПФР, ФНС. Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (в том числе предоставление определенному кругу третьих лиц для достижения вышеуказанных целей, в том числе трансграничную передачу), блокирование, удаление, уничтожение, осуществляемых как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка). Я подтверждаю, что ознакомлен с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой ООО " РМ-Логистика " в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области. Согласие вступает в силу со дня его подписания на период не менее, чем срок хранения документов, установленных архивным законодательством. Согласие может быть отозвано мною в любое время на основании моего письменного заявления. «___» __________ 20__ г. ________________________ /_________________________ (подпись) (расшифровка подписи)
Приложение № 4 к Положению об обработке и защите персональных данных ООО " РМ-Логистика "
ФОРМА СОГЛАСИЯ ИСПОЛНИТЕЛЯ ПО ДОГОВОРУ ВОЗМЕЗДНОГО ОКАЗАНИЯ УСЛУГ НА ОБРАБОТКУ И ПЕРЕДАЧУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, ________________________________________________________________________________, (ФИО) дата рождения _________________ документ, удостоверяющий личность, (число, месяц, год) _____________________________________________________________________________ (наименование, номер и серия документа, кем и когда выдан) адрес регистрации по месту жительства _________________________________________ (почтовый адрес) адрес фактического проживания _______________________________________________ (почтовый адрес фактического проживания, контактный телефон) в соответствии с Федеральным законом от 27 июля 2006 года № 152 «О персональных данных» даю согласие ООО " РМ-Логистика ", адрес регистрации г. Ижевск УР, ул. М.Горького,88 адрес фактического нахождения: г. Ижевск УР, ул. М.Горького,88 на обработку моих персональных данных, а именно: -фамилия имя отчество; -сведения о документе, удостоверяющем личность; -информация о дате рождения; -информация о месте жительства; -данные разрешения на временное проживание; -номер страхового свидетельства государственного пенсионного страхования; -номер ИНН (при наличии); -должность (профессия); -номер лицевого счета в банке; -тарифная ставка (оклад); -сведения об отчислениях в Федеральную налоговую службу; -сведения об отчислениях в Пенсионный фонд РФ. Целью обработки персональных данных является: работа с договорами возмездного оказания услуг. Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (в том числе предоставление определенному кругу третьих лиц для достижения вышеуказанных цели), блокирование, удаление, уничтожение, осуществляемых как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка). Я подтверждаю, что ознакомлен с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой ООО " РМ-Логистика» в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области. Согласие вступает в силу со дня его подписания на период не менее, чем срок хранения документов, установленных архивным законодательством. Согласие может быть отозвано мною в любое время на основании моего письменного заявления. «___» __________ 20__ г. ________________________ /_________________________ (подпись) (расшифровка подписи)