Настоящим Положением о защите персональных данных ИП РАСТРУБИН К.Н. определяется порядок обработки персональных данных работников и (или) клиентов ИП, а также ведения их личных дел в соответствии с Трудовым кодексом РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», нормативно- правовыми актами РФ. Настоящее Положение создано в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- В настоящем Положении в соответствии со ст. 3 Федерального закона"О персональных данных" используются следующие основные термины и понятия:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
В том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
— обезличивание персональных данных— действия, в результате которыхневозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
— общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
— ИП/ИП РАСТРУБИН К.Н. – Индивидуальный предприниматель Раструбин Кирилл Николаевич
— работник — физическое лицо, вступившее в трудовые отношенияс ИП РАСТРУБИН К.Н.
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
— использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
— блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
— уничтожение персональных данных — действия, в результате которыхневозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
— информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
— конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
— субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные.
2. Представитель работодателя в лице начальника отдела кадров, или ответственного лица, исполняющего его обязанности и определенного приказом, обеспечивают защиту персональных данных работников и (или) клиентов, содержащихся в их личных делах, от неправомерного их использования или утраты.
3. Доступ к персональным данным работников и (или) клиентовимеют:
- ИП, Руководители подразделений, начальник отдела кадров, или ответственное лицо (п3 настоящего Положения) — к персональным данным работников и (или) клиентов курируемых ими подразделений или принимаемых на работу в эти подразделения;
- работники в должностных обязанностях, которых предусмотрено ведение работы с документами, содержащими персональные данные работников и (или) клиентов;
- работники бухгалтерии, отвечающие за составление статистики, расчет заработной платы работников, кассовые операции, расчеты с подотчетными лицами.
4. Сотрудники, указанные в п. 4 настоящего Положения, имеют право получать только те персональные данные работников и (или) клиентов, которые необходимы им для выполнения своих должностных обязанностей.
5.Ответственным за организацию и осуществление хранения персональных данных работников и (или) клиентов является лицо, назначенное приказом ИП.
6. ИП определяет лиц уполномоченных на обработку персональных данных работников и (или) клиентов, обеспечивающих обработку персональных данных в соответствии с требованиями законодательства и несущих ответственность в соответствии с законодательством РФ за нарушение режима защиты этих персональных данных.
7. При обработке персональных данных работников и (или) клиентов сотрудники, ответственные за обработку персональных данных, обязаны соблюдать следующие требования:
а) обработка персональных данных работников и (или) клиентов осуществляется в целях обеспечения соблюдения Конституции Р Ф, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия работнику в построении карьеры, в обучении и должностном росте, обеспечении личной безопасности, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества организации, учета результатов труда; подключены информационные системы персональных данных, физически изолированных от информационно-телекоммуникационных сетей общего пользования или изолированных с помощью сертифицированного межсетевого экрана;
- доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных должен требовать обязательного прохождения процедуры идентификации и аутентификации;
- передача персональных данных по незащищенным каналам связи допускается только при использовании средств шифрования;
б) персональные данные следует получатьлично у работников и (или) клиентов.
В случае возникновения необходимости получения персональных данных работника и (или) клиента у третьей стороны следует известить об этом работника и (или) клиента заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных. Письменное согласие работника и (или) клиента на обработку персональных данных хранится у ответственного лица;
в) запрещается получать, обрабатывать и приобщать к личному делу работников и (или) клиентов персональные данные о их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
г) при принятии решений, затрагивающих интересы работников и (или) клиентов, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
д) защита персональных данных работников и (или) клиентов от неправомерного их использования или утраты обеспечивается за счет средств ИП в порядке, установленном Федеральным законом «О персональных данных», Трудовым кодексом и иными нормативными правовыми актами Российской Федерации;
е) обеспечение конфиденциальности персональных данных работников и (или) клиентов, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;
ж) в случае выявления недостоверных персональных данных работников и (или) клиентов или неправомерных действий с ними сотрудника, ответственного за обработку персональных данных, при обращении или по запросу работников и (или) клиентов, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных сотрудник, ответственный за обработку персональных данных, обязан осуществить блокирование персональных данных, относящихся к соответствующему работнику и (или) клиенту, с момента такого обращения или получения такого запроса на период проверки;
з) в случае подтверждения факта недостоверности персональных данных работника и (или) клиента сотрудник, ответственный за обработку персональных данных, на основании документов, представленных работником и (или) клиентом, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
и) в случае выявления неправомерных действий с персональными данными сотрудник, ответственный за обработку персональных данных, в срок, не превышающий 3 рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений сотрудник, ответственный за обработку персональных данных, в срок, не превышающий 3 рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных сотрудник, ответственный за обработку персональных данных, обязан уведомить работника и (или) клиента, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
к) хранение персональных данных должно осуществляться в форме, позволяющей определить работника и (или) клиента, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
8. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме работника, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
9. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом «О персональных данных».
10. В целях обеспечения защиты персональных данных, хранящихся в личных делах, работники имеют право:
а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
в) требовать внесения необходимых изменений, уничтожения или блокирования персональных данных, если они являются неполными, устаревшими, недостоверными, а также полученными с нарушением законодательства РФ. Работник при отказе сотрудника, ответственного за обработку персональных данных, внести необходимые изменения, уничтожить или блокировать его персональные данные, имеет право заявить в письменной форме ИП, руководителю или начальнику отдела кадров (ответственному лицу) о своем несогласии, обосновав соответствующим образом свое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
г) требовать от ИП руководителя или начальника отдела кадров (ответственного лица) уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие персональные данные, обо всех произведенных в них изменениях;
д) обжаловать действия или бездействие сотрудника, ответственного за обработку персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если работник, являющийся субъектом персональных данных, считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.
11. Работник, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого работника/клиента, несет ответственность в соответствии с федеральными законами.
12. На основе персональных данных работников формируются и ведутся, в том числе на электронных носителях, внутренние списки, структура и штатная численность работников.
13. Ответственное лицо вправе подвергать обработке (в том числе автоматизированной) персональные данные работников при формировании кадрового резерва.
14. В личное дело работника вносятся его персональные данные и иные сведения, связанные с поступлением на работу, ее прохождением и увольнением с работы и необходимые для обеспечения деятельности работодателя.
Личное дело работника ведется ответственным лицом.
15. Персональные данные, внесенные в личные дела работников, иные сведения, содержащиеся в личных делах, относятся к информации ограниченного доступа (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, — к сведениям, составляющим государственную тайну.
16. При заключении договоров с клиентами в договоре указывается
- фамилия, имя, отчество;
- наименование и реквизиты документа, удостоверяющего личность;
- контактный адрес, находящийся в пределах РФ;
- контактные телефоны (действующий контактный номер (домашний и сотовый, по которым предприятие будет иметь возможность оперативно связаться с Клиентом;
Указанные сведения являются персональными данными Клиента и используются ИП (и, в случае необходимости — его сотрудниками), только в целях оказания и продвижения на рынке.
Договор заключается толькопосле того, как Клиент дает свое согласиена:
обработку ИП персональных данных, указанных в Карточке Клиента, в том числе: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе — передачу), обезличивание, блокирование.
Согласие Клиента на обработку персональных данных вышеуказанными способами действует в течение всего срока действия договора или до отзыва Клиентом данного согласия.
Клиент принимая условия соглашается на передачу сообщений любыми доступными средствами связи, в т. ч., но не ограничиваясь: по телефону, путем обмена сообщениями через сервисы WA, TG, посредством электронной почты и пр.
