Политика обработки персональных данных
УТВЕРЖДЕНО
приказом руководителя
ООО «ПСТК»
от 11 июля 2016 г. N 07-ОД
ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, АБОНЕНТОВ И КОНТРАГЕНТОВ ООО «ПСТК»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее положение принято в целях сохранения личной тайны и защиты персональных данных работников, абонентов и контрагентов ООО «ПСТК».
1.2. Положение определяет права и обязанности руководителей и работников, абонентов и контрагентов ООО «ПСТК», порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных работников, абонентов и контрагентов.
1.3. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, положений Трудового кодекса Российской Федерации; Гражданского кодекса Российской Федерации; Налогового кодекса Российской Федерации, ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных», ФЗ от 07.07.2003 № 126-ФЗ «О связи», ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановления Правительства РФ от 18.05.2005 № 310 «Об утверждении Правил оказания услуг местной, внутризоновой, междугородной и международной связи», постановления Правительства РФ от 10.09.2007 № 575 «Об утверждении Правил оказания телематических услуг связи», постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без средств автоматизации»; Постановления Правительства РФ от 16.04.2003 № 225 «О трудовых книжках», постановлением Минтруда РФ от 10.10.2003 № 69, Устава общества с ограниченной ответственностью «ПромСвязь ТК».
1.4. Сбор данных осуществляется в целях исполнения договорных обязательств: по трудовым договорам, заключенным с работниками, и по договорам гражданско-правового характера, заключенным с абонентами и контрагентами ООО «ПСТК».
1.5. Персональные данные не могут быть использованы в целях:
- причинения морального и имущественного вреда гражданам;
- затруднения реализации прав и свобод граждан Российской Федерации.
1.6. В настоящем Положении используются следующие понятия и термины:
- работник – физическое лицо, вступившее в трудовые отношения с работодателем;
- работодатель – ООО «ПСТК»;
- персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника;
- персональные данные родственников работника – информация, необходимая в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, предоставления гарантий и компенсаций работникам, установленных действующим законодательством и локальными нормативными актами;
- персональные данные абонента, контрагента (представителя контрагента) – информация, необходимая предприятию для осуществления деятельности в соответствии с Уставом и касающаяся физических лиц (абонентов, контрагентов (представителей контрагентов), состоящих в гражданско- правовых отношениях с ООО «ПСТК»;
- персональные данные кандидатов на вакантные должности – информация, необходимая в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов, содействия в трудоустройстве, проверки деловых и личностных качеств перед приемом на работу в ООО «ПСТК»;
- служебные сведения (служебная тайна) – информация (сведения), доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Понятие персональных данных работников.
2.1.1. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника.
2.1.2. Персональные данные работника составляют:
- а) сведения о фактах, событиях и обстоятельствах частной жизни работника, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
- б) служебные сведения, а также иные сведения, связанные с профессиональной деятельностью работника, в том числе сведения, необходимые для осуществления кадрового и бухгалтерского учета, о поощрениях и о дисциплинарных взысканиях;
2.1.3. Документами, содержащими персональные данные являются:
- а) паспорт или иной документ, удостоверяющий личность;
- б) трудовая книжка;
- в) страховое свидетельство государственного пенсионного страхования;
- г) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
- д) документы воинского учёта;
- е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
- ж) карточка Т-2;
- з) автобиография;
- и) личный листок по учёту кадров;
- к) медицинское заключение о состоянии здоровья;
- л) документы, содержащие сведения о заработной плате, доплатах и надбавках;
- м) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;
- н) другие документы, содержащие сведения, предназначенные для использования в служебных целях.
2.2. Понятие персональных данных абонентов, контрагентов (представителей контрагентов):
2.2.1. Персональные данные абонента и (или) контрагента (представителя контрагента) – информация, необходимая предприятию в связи с исполнением договорных обязательств и касающаяся конкретного абонента (контрагента).
2.2.2. В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 07.07.2003 г. № 126-ФЗ «О связи», другими федеральными законами и иными нормативными правовыми актами Российской Федерации, абонент, заключающий договор, предъявляет ООО «ПСТК» следующие документы, содержащие его персональные данные:
- паспорт либо иной документ, удостоверяющий личность;
- копию документа, подтверждающего право владения или пользования помещением, в котором будет устанавливаться оборудование, обеспечивающее возможность оказания абоненту услуг связи;
- письменное подтверждение законных представителей (в случае заключения договора с гражданином в возрасте от 14 лет и до достижения им 18-летнего возраста).
При заключении договора гражданско-правового характера контрагент – физическое лицо предоставляет следующие документы, содержащие его персональные данные:
- паспорт либо иной документ, удостоверяющий личность;
- свидетельство о постановке на учет в налоговом органе физического лица;
- страховой номер индивидуального лицевого счета застрахованного лица в системе персонифицированного учета ПФР;
- банковские реквизиты (при наличии расчетного счета в банке);
- регистрационный номер ЕГРИП (для физических лиц, являющихся индивидуальными предпринимателями);
- адрес места жительства, номер контактного телефона.
2.2.3. Информация, содержащаяся в данных документах, является конфиденциальной.
2.3. Понятие персональных данных родственников работника
2.3.1. Персональные данные родственников работника — информация, позволяющая выполнять работодателю функции, связанные с исполнением требований действующего законодательства и локальных нормативных актов необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника, содержащая сведения о родственниках, необходимые для кадрового учета, а также для получения работником различных льгот и социальных выплат, предусмотренных действующим законодательством.
2.3.2. Персональные данные родственников работника содержат сведения о фамилии, имени, отчестве, дате рождения близких родственников, включаемых работником в анкету при приеме на работу, а также дополнительные сведения, необходимые в целях осуществления права работника на льготы и социальные выплаты в соответствии с действующим законодательством. Они включаются в личное дело и хранятся вместе с персональными данными работника.
2.4. Понятие персональных кандидатов на вакантные должности
2.4.1. Персональные данные кандидатов на вакантные должности – информация, позволяющая работодателю оценить квалификацию, деловые и личностные качества кандидата в целях его трудоустройства. После замещения вакансии персональные данные кандидатов уничтожаются.
3. СОЗДАНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА, АБОНЕНТА И КОНТРАГЕНТА
3.1. Создание персональных данных работника, абонента, контрагента (представителя контрагента).
Документы, содержащие персональные данные работника, создаются путём:
- а) копирования оригиналов (документ об образовании, свидетельство ИНН, СНИЛС (для работников);
- б) внесения сведений в учётные формы (на бумажных и электронных носителях);
- в) получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, анкета, медицинское заключение (для работников).
3.2. Обработка персональных данных работников, абонентов, контрагентов — получение, хранение, комбинирование, передача или любое другое использование персональных данных в соответствии с требованиями действующего законодательства Российской Федерации.
3.2.1. При обработке персональных данных работников, абонентов и контрагентов в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции Российской Федерации, Трудового Кодекса Российской Федерации и иных федеральных законов.
3.2.2. Обработка персональных данных работника осуществляется исключительно в целях:
- а) обеспечения соблюдения законов и иных нормативных правовых актов;
- б) содействия работникам в трудоустройстве;
- в) обеспечения личной безопасности работников;
- г) контроля количества и качества выполняемой работы;
- д) обеспечения сохранности имущества работника и работодателя.
3.2.3. Обработка персональных данных абонентов и контрагентов может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, исполнения договорных обязательств.
3.2.4. При определении объема и содержания обрабатываемых персональных данных работников, абонентов, контрагентов ООО «ПСТК» должно запрашивать только ту информацию, которая потребуется для исполнения обязанностей по договору, руководствуясь при этом Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации и иными федеральными законами.
3.2.5. Все персональные данные работника, абонента, контрагента (представителя контрагента) следует получать у него самого, за исключением случаев, если их получение возможно только у третьей стороны. При принятии решений, затрагивающих интересы абонента, контрагента (представителя контрагента), ООО «ПСТК» не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или получения в электронном виде.
3.2.6. Получение персональных данных работника у третьих лиц, возможно только при уведомлении работника об этом заранее и с его письменного согласия.
В уведомлении работника о получении его персональных данных у третьих лиц должна содержаться следующая информация:
- а) о целях получения персональных данных;
- б) о предполагаемых источниках и способах получения персональных данных;
- в) о характере подлежащих получению персональных данных;
- г) о последствиях отказа работника дать письменное согласие на их получение.
3.2.7. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а равно как персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.2.8. Работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.3. Сведения, содержащие персональные данные работника, включаются в его личное дело, карточку формы Т-2, а также содержатся на электронных носителях информации, доступ к которым разрешён лицам, непосредственно использующим персональные данные работника в служебных целях. Перечень должностных лиц определён в пункте 4.1 настоящего положения.
3.4. Сведения, содержащие персональные данные абонента, содержаться в договоре на оказание услуг связи.
3.5. Сведения, содержащие персональные данные контрагента (представителя контрагента), содержатся договоре гражданско-правового характера.
3.6. К обработке, передаче, хранению и другим действиям с персональными данными могут иметь доступ следующие сотрудники:
- генеральный директор;
- финансовый директор;
- помощник руководителя;
- диспетчер-кассир;
- техники и инженеры связи.
Перечень действий и персональных данных, к которым разрешается доступ для каждой категории сотрудников, регламентируется пунктом 4 настоящего Положения.
3.7. Передача персональных данных работника, абонента, контрагента (представителя контрагента) возможна только с его согласия или в случаях, прямо предусмотренных законодательством.
3.8. При передаче персональных данных работника, абонента, контрагента (представителя контрагента) сотрудники ООО «ПСТК» должны соблюдать следующие требования:
- не сообщать персональные данные работника, абонента, контрагента (представителя контрагента) третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами и иными нормативными актами;
- предупреждать лица, получающие персональные данные работника, абонента, контрагента (представителя контрагента) о том, что они могут быть использованы лишь в целях, для которых переданы, и требовать подтверждения исполнения данного правила. Лица, получающие персональные данные, обязаны соблюдать условия конфиденциальности;
- разрешать доступ к персональным данным работника, абонента или контрагента (представителя контрагента) только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
3.9. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные носители и хранилища информации.
3.10. Хранение персональных данных должно происходить в порядке, исключающем их утрату и несанкционированный доступ к ним.
3.11. Хранение персональных данных:
- а) персональные данные контрагентов, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем месте финансового директора.
- б) персональные данные, содержащиеся на электронных носителях информации, хранятся на сервере программы 1С. Полный доступ на сервер имеется исключительно у генерального директора ООО «ПСТК». Доступ сотрудников к персональным данным, хранящимся в информационной системе предприятия, ограничен рамками исполнения ими их служебных обязанностей и пунктом 4 настоящего Положения.
- в) персональные данные, включённые в состав личных дел, хранятся в запираемом шкафу, установленном на рабочем месте помощника руководителя.
Персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК помощника руководителя. - г) трудовые книжки хранится в запертом металлическом сейфе, карточка формы Т-2 хранится в электронном виде в ПК помощника руководителя.
- д) доступ к ПК строго ограничен кругом лиц, определённых в пункте 4.1 настоящего Положения. Персональные данные, содержащиеся на бумажных носителях, после установленного срока хранения подлежат уничтожению, а в случаях, предусмотренных законодательством, сдаются в архив.
4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКА
4.1. Внутренний доступ (работники ООО «ПСТК»).
Доступ к персональным данным работников и контрагентов имеют следующие должностные лица, непосредственно использующие их в служебных целях:
- а) руководитель ООО «ПСТК»;
- б) финансовый директор;
- в) помощник руководителя.
Доступ к персональным данным абонентов имеют:
- а) руководитель ООО «ПСТК»;
- б) финансовый директор;
- в) помощник руководителя;
- г) диспетчер-кассир – в части, необходимой для осуществления внесения сведений об абоненте в абонентскую базу ООО «ПСТК», приема оплаты за услуги связи, приема и обработки заявок о неисправностях и их выполнении: фамилия, имя, отчество, адрес места жительства, данные документа, удостоверяющего личность, номер контактного телефона;
- д) инженеры и техники связи – в части, необходимой для выполнения ими служебных обязанностей: фамилия, имя, отчество абонента, адрес места жительства, номер контактного телефона.
4.1.1. Уполномоченные лица имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные работники имеют право на полную информацию только об их персональных данных и обработке этих данных.
4.2. Внешний доступ (другие организации и граждане).
Сообщение сведений о персональных данных работников другим организациям и гражданам разрешается при наличии письменного согласия работника, абонента, контрагента (представителя контрагента) и заявления, подписанного руководителем организации либо гражданином, запросившим такие сведения.
4.2.1. Предоставление сведений о персональных данных работников без соответствующего их согласия возможно в следующих случаях:
- а) в целях предупреждения угрозы жизни и здоровья работника;
- б) при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
- в) при поступлении официальных запросов из налоговых органов, органов Пенсионного фонда Российской Федерации; органов Федерального социального страхования, судебных органов.
4.2.2. Предоставление персональных данных абонента или контрагента (представителя контрагента) возможно только с его согласия и в случае, прямо предусмотренном законодательством.
4.2.3. Работник, абонент, контрагент, о котором запрашиваются сведения, должен быть уведомлён о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.
4.2.4. Запрещается передача персональных данных работников, абонентов, контрагентов в коммерческих целях без их согласия.
5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъект персональных данных (работник, абонент, контрагент) обязан:
- передавать представителю ООО «ПСТК» комплекс достоверных документированных персональных данных;
- своевременно сообщать об изменении своих персональных данных.
5.2. Субъект персональных данных (работник, абонент, контрагент) имеет право:
- получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральными законами;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона «О персональных данных». При отказе исключить или исправить персональные данные работник, абонент, контрагент имеет право заявлять в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требовать уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суде любые неправомерные действия или бездействие ООО «ПСТК» или уполномоченного им лица при обработке и защите персональных данных субъекта.
6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, АБОНЕНТОВ И КОНТРАГЕНТОВ
6.1. Мероприятия по защите персональных данных внутри предприятия:
- ограничение и регламентация состава сотрудников ООО «ПСТК», обязанности которых требуют знания конфиденциальной информации;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- разграничение доступа к информационным базам ООО «ПСТК» на рабочих местах сотрудников, исключающее бесконтрольное использование защищаемой информации;
- использование системы индивидуальных паролей доступа к информационным базам для каждого сотрудника, исключающее возможность несанкционированного доступа к персональным данным с его рабочего места другими сотрудниками или третьими лицами в его отсутствие;
- знание сотрудниками нормативно-методических документов по защите информации и сохранению конфиденциальности;
- наличие необходимых условий в помещении для хранения документов (наличие шкафов, сейфов, замков на дверях);
- своевременное выявление нарушений требований по ограничению и регламентации доступа к персональным данным сотрудниками ООО «ПСТК»;
- проведение разъяснительной работы с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
6.2. Мероприятия по защите персональных данных от несанкционированного доступа извне:
- снабжение помещений, в которых хранятся документы, решетками на окнах;
- исключение доступа в помещения, в которых хранятся документы, посторонних лиц;
- исключение проникновения извне в информационные базы ООО «ПСТК» при помощи каналов связи посредством установки антивирусных программ и межсетевых экранов;
- обеспечение помещений ООО «ПСТК» охранной сигнализацией, заключение договоров со специализированной организацией на обеспечение охраны здания и помещений от проникновения посторонних лиц в нерабочее время.
7. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКОВ, АБОНЕНТОВ И КОНТРАГЕНТОВ
7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, абонентов и контрагентов ООО «ПСТК», привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:
- а) замечание;
- б) выговор;
- в) предупреждение о неполном должностном соответствии;
- г) освобождение от занимаемой должности;
- д) увольнение.
7.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
7.3. Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение
пяти дней со дня издания приказа.
7.4. Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается
неимеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Настоящее Положение вступает в силу с момента его утверждения и вводится в действие приказом генерального директора ООО «ПСТК».
8.2. Положение обязательно для всех сотрудников ООО «ПСТК», имеющих доступ к персональным данным работников, абонентов и контрагентов.
8.3. Генеральный директор вправе вносить изменения и дополнения оформленные приказом по предприятию, в данное Положение. Сотрудники ООО «ПСТК» должны быть поставлены в известность о вносимых изменениях и дополнениях за 5 дней до вступления их в силу посредством ознакомления с данным приказом всех сотрудников ООО «ПСТК».