Политика оператора обработки персональных данных

Положение «О порядке обработки персональных данных»
1. Общие положения
1.1. Настоящее Положение по обработке персональных данных (далее - Положение) разработано и
применяется ООО «Олмисофт» (далее – «Общество») как оператором обработки персональных
данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных», а также иными нормативно-правовыми актами в области защиты и обработки
персональных данных и является основополагающим внутренним регулятивным документом
Общества, определяющим ключевые направления его деятельности в области обработки и
защиты персональных данных.
1.2. Цель разработки Положения – определение порядка обработки персональных данных
работников Общества; обеспечение защиты прав и свобод работников при обработке их
персональных данных; установление режима конфиденциальности персональных данных, а
также установление ответственности должностных лиц, имеющих доступ к персональным
данным работников, за невыполнение требований норм, регулирующих обработку и защиту
персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения директором Общества
и действует бессрочно, до замены его новым Положением.
1.3.2. Настоящее Положение является обязательным для исполнения всеми работниками
Общества.
1.3.3. Все изменения в Положение вносятся приказом.
1.3.4. Все работники Общества должны быть ознакомлены с настоящим Положением под
роспись.
2. Основные понятия и состав персональных данных работников
2.1. Для целей настоящего Положения используются следующие основные понятия:
– персональные данные работника – любая информация, относящаяся к определенному
или определяемому на основании такой информации работнику, в том числе его фамилия, имя,
отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая информация, необходимая работодателю в
связи с трудовыми отношениями;
– обработка персональных данных – сбор, систематизация, накопление, хранение,
уточнение (обновление, изменение), использование, распространение (в том числе передача),
обезличивание, блокирование, уничтожение персональных данных работников Общества;
– конфиденциальность персональных данных – обязательное для соблюдения
назначенного ответственного лица, получившего доступ к персональным данным работников,
требование не допускать их распространения без согласия работника или иного законного
основания;
– распространение персональных данных – действия, направленные на передачу
персональных данных работников определенному кругу лиц (передача персональных данных)
или на ознакомление с персональными данными неограниченного круга лиц, в том числе
обнародование персональных данных работников в средствах массовой информации,
размещение в информационно-телекоммуникационных сетях или предоставление доступа к
персональным данным работников каким-либо иным способом;
– использование персональных данных – действия (операции) с персональными данными,
совершаемые должностным лицом Общества в целях принятия решений или совершения иных
действий, порождающих юридические последствия в отношении работников либо иным образом
затрагивающих их права и свободы или права и свободы других лиц;
– блокирование персональных данных – временное прекращение сбора, систематизации,
накопления, использования, распространения персональных данных работников, в том числе их
передачи;
– уничтожение персональных данных – действия, в результате которых невозможно
восстановить содержание персональных данных в информационной системе персональных
данных работников или в результате которых уничтожаются материальные носители
персональных данных работников;
– обезличивание персональных данных – действия, в результате которых невозможно
определить принадлежность персональных данных конкретному работнику;
– общедоступные персональные данные – персональные данные, доступ неограниченного
круга лиц к которым предоставлен с согласия работника или на которые в соответствии с
федеральными законами не распространяется требование соблюдения конфиденциальности.
2.2. В состав персональных данных работников Общества входят следующие данные:
– фамилия, имя, отчество (в т.ч. предыдущие);
– пол;
– дата и место рождения;
– гражданство;
– паспортные данные;
– СНИЛС;
– ИНН;
– данные документов об образовании;
– отношение к воинской обязанности и иные сведения военного билета и приписного
удостоверения;
– семейное положение и данные о составе и членах семьи;
– сведения о социальных льготах, пенсионном обеспечении и страховании;
– данные о состоянии здоровья;
– сведения о трудовом стаже, предыдущих местах работы, доходах на предыдущих местах
работы;
– должность;
– сведения о заработной плате (доходах), банковских счетах и картах;
– адрес места жительства (по регистрации и фактический), дата регистрации по указанному
месту жительства;
– номера телефонов.
2.3. В Обществе создаются и хранятся следующие группы документов, содержащие персональные
данные работников в единичном или сводном виде:
– комплексы документов, сопровождающие процесс оформления трудовых отношений
при приеме на работу, переводе, увольнении;
– комплекс материалов по проведению собеседований с кандидатом на должность;
– подлинники приказов по личному составу; личные дела и трудовые книжки работников;
дела, содержащие основания к приказу по личному составу;
– дела, содержащие материалы аттестации работников; служебных расследований;
– копии отчетов, направляемых в государственные органы статистики, налоговые
инспекции, вышестоящие органы управления и другие учреждения).
2.4. Обработка персональных данных работников осуществляется Обществом в следующих целях:
– в целях оформления и регулирования трудовых отношений;
– формирования кадрового документооборота Общества;
– начисления заработной платы и проведения иных бухгалтерских операций, в том числе
начисления и уплаты налогов и сборов;
– представления законодательно установленной отчетности по физическим лицам в ИФНС
и внебюджетные фонды;
– подачи сведений в банк для оформления банковской карты и последующего
перечисления на нее заработной платы;
– обеспечения безопасных условий труда;
– обеспечения сохранности имущества, принадлежащего работодателю.
3. Сбор, обработка, передача и защита персональных данных
3.1. Порядок получения персональных данных.
3.1.1. Все персональные данные работника Общества следует получать у него самого. Если
персональные данные работника возможно получить только у третьей стороны, то
работник должен быть уведомлен об этом заранее и от него должно быть получено
письменное согласие. Должностное лицо работодателя должно сообщить работнику
Общества о целях, предполагаемых источниках и способах получения персональных
данных, а также о характере подлежащих получению персональных данных и
последствиях отказа работника дать письменное согласие на их получение.
3.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника
Общества о его расовой, национальной принадлежности, политических взглядах,
религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
3.1.3. Работодатель вправе обрабатывать персональные данные работников только с их
письменного согласия. Обработка персональных данных без согласия работников
возможна в следующих случаях:
– персональные данные являются общедоступными;
– персональные данные относятся к состоянию здоровья работника и их обработка
необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни,
здоровья или иных жизненно важных интересов других лиц и получение согласия работника
невозможно;
– по требованию полномочных государственных органов в случаях, предусмотренных
федеральным законом.
3.1.4. Письменное согласие работника на обработку своих персональных данных должно
включать в себя:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного
документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и
выдавшем его органе;
– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие
субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие субъекта
персональных данных;
– перечень действий с персональными данными, на совершение которых дается согласие,
общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие, а также порядок его отзыва.
3.2. При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение персональных данных граждан
Российской Федерации с использованием баз данных, находящихся на территории Российской
Федерации, за исключением случаев, предусмотренных действующим российским
законодательством.
3.3. При обработке персональных данных Общество применяет правовые, организационные и
технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19
Федерального закона «О персональных данных».
Основным инфраструктурным ресурсом Общества для осуществления операций с
персональными данными являются информационные системы, представляющие собой:
– комплексы автоматизированной обработки персональных данных (позволяющих
осуществлять операции с персональными данными в виде файлов, доступ к которым
регулируется в соответствии с положениями федеральных, региональных и муниципальных
НПА);
– документацию на бумажных носителях (доступ к которым осуществляется в
соответствии с положениями законодательства РФ и локальных правовых актов Общества).
3.4. Передача персональных данных работника осуществляется с учетом специфики конкретной
информационной системы.
3.4.1. Если используется цифровая ИС (предназначенная для автоматизированной обработки
персональных данных), то передача данных осуществляется по защищенным каналам
связи, а также при задействовании средств криптозащиты.
3.4.2. Если используется ИС на основе бумажных носителей, то передача данных
осуществляется посредством перемещения или копирования содержимого данных
носителей при участии сотрудников предприятия, имеющих доступ к соответствующей
ИС, который устанавливается отдельным локальным правовым актом.
3.4.3. Блокирование персональных данных на предприятии осуществляется с учетом специфики
конкретной ИС. Если используется цифровая ИС, то блокирование данных осуществляется
посредством закрытия доступа к файлам при задействовании средств криптозащиты. Если
используется ИС на основе бумажных носителей, то блокирование данных осуществляется
посредством закрытия доступа к соответствующей ИС для определенных групп
сотрудников.
3.5. Хранение персональных данных осуществляется с учетом специфики конкретной ИС. Если
используется цифровая ИС, то хранение данных осуществляется на ПК главного бухгалтера
Общества. Если используется ИС на основе бумажных носителей, то хранение данных
осуществляется в архиве бухгалтерии.
3.6. Хранение документов, содержащих персональные данные работников, осуществляется в
несгораемых шкафах (сейфах), ключи от которых находятся у директора и главного бухгалтера
Общества, а в их отсутствии – у замещающего лица.
3.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной ИС. Если
используется цифровая ИС, то ликвидация данных осуществляется посредством их удаления с
ПК главного бухгалтера. Если используется ИС на основе бумажных носителей, то ликвидация
данных осуществляется посредством уничтожения соответствующих носителей с помощью
специальных технических средств.
3.8. Случайное, ненамеренное получение, хранение и иные операции с персональными данными
российских граждан не влекут обязанности локализовать обработку персональных данных в
Обществе, в связи с чем Общество не должно предпринимать каких-либо действий в
отношении персональных данных, случайно к нему попавших. В частности, локализация не
требуется в случае:
– незапрашиваемого получения персональных данных, например, произвольной
(случайной) входящей корреспонденции и электронных писем;
– получения персональных данных, поступивших в Общество от других юридических лиц,
если такие данные представляют собой контактную информацию работников или
представителей таких юридических лиц, переданную в ходе осуществления ими своей законной
деятельности.
4. Ответственный за организацию обработки персональных данных
4.1. В соответствии с требованиями ст. 22.1 Федерального закона «О персональных данных»
приказом Директора Общества назначается лицо, ответственное за организацию обработки
персональных данных, как в информационных системах Общества, в которых обрабатываются
персональные данные, так и при обработке персональных данных без использования средств
автоматизации (далее – Ответственный за организацию обработки персональных данных).
4.2. Ответственный за организацию обработки персональных данных получает указания
непосредственно от Директора Общества и подотчетен ему.
4.3. На Ответственного за организацию обработки персональных данных возлагается задача по
организации выполнения законодательных требований при обработке персональных данных в
Обществе.
5. Работники, осуществляющие обработку персональных данных
5.1. Состав работников, осуществляющих обработку персональных данных, утверждается
приказом Директора Общества.
5.2. Работники, непосредственно осуществляющие обработку персональных данных, должны быть
ознакомлены с положениями законодательства РФ о персональных данных, в том числе с
требованиями к защите персональных данных, положениями и актами Общества,
определяющими политику в отношении обработки персональных данных.
5.3. Со всеми работниками, непосредственно осуществляющими обработку персональных данных,
должны быть в установленном порядке оформлены обязательства о выполнении требований
положений и актов Общества по обработке, защите и неразглашении информации
ограниченного доступа.
5.4. Работники Общества, осуществляющие обработку персональных данных, обязаны:
– осуществлять операции с персональными данными при соблюдении норм,
установленных настоящим положением, а также федеральных, региональных и муниципальных
НПА;
– информировать Ответственного за организацию обработки персональных данных и
директора Общества о нештатных ситуациях, связанных с операциями с персональными
данными;
– обеспечивать конфиденциальность операций с персональными данными.
5.5. Работники Общества, виновные в нарушении порядка обращения с персональными данными,
несут ответственность в соответствии с федеральными законами.
6. Права работников в части осуществления операций с персональными данными
6.1. Работник, передавший Обществу свои персональные данные, имеет право:
– получать доступ к своим персональным данным в любой момент в целях осуществления
необходимых операций с ними;
– бесплатно получать копий файлов или бумажных носителей, содержащих персональные
данные;
– требовать от предприятия дополнительной обработки, блокирования или ликвидации
персональных данных, если операции с ними противоречат интересам работника,
осуществляются незаконно, а также в случае, если персональные данные недостоверны;
– получать от предприятия информацию о лицах, имеющих доступ к персональным
данным, а также о статистике обращений к персональным данным с их стороны;
– получать от Общества информацию о дополнительной обработке, блокировании или
ликвидации персональных данных, осуществленных по инициативе предприятия.