1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления, хранения, распространения и уничтожения документов, содержащих сведения, отнесенные к персональным данным работников и иных лиц, не являющихся работниками (субъектов персональных данных).Положение об обработке и защите персональных данных Общества с ограниченной ответственностью «РАР ЛОДЖИСТИКС» (далее - ООО «РАР ЛОДЖИСТИКС», Общество, Организация, Оператор) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и нормативно-правовыми актами, действующими на территории России.
1.2. Цель разработки Положения - определение порядка обработки персональных данных работников Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора, при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.
1.4. Порядок ввода в действие и изменения Положения.
1.4.1. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены его новым Положением.
1.4.2. Все изменения в Положение вносятся приказом.
1.5. Настоящее Положение и изменения к нему являются обязательными к применению всеми работниками Оператора. Все работники Оператора должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
1.6. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается:
· в случае их обезличивания;
· по истечении 75 лет срока их хранения;
· в других случаях, предусмотренных федеральными законами.
Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.
2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
2.1. Для целей настоящего Положения используются следующие основные понятия:Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Субъект персональных данных (Субъект) - физическое лицо (в том числе, но не исключительно, работники, в связи с трудовыми отношениями с Организацией, кандидаты на заключение трудового договора с Организацией, иные физические лица или представители юридического лица, заключившие или планирующие заключение с Организацией договоры в соответствии с гражданским законодательством, физические лица, входящие в органы управления Организации, их представители, физические лица, являющиеся Участниками Организации), персональные данные которых обрабатываются Оператором;
Категории персональных данных - общие персональные данные (базовые личные данные), специальные персональные данные (информация о личности человека), биометрические персональные данные (физиологические или биологические особенности человека, которые используют для установления его личности), иные персональные данные);
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Оценка степени вреда - соотнесение обрабатываемых персональных данных к какой-либо категории, в зависимости от степени вреда, который может возникнуть, если будет нарушен закон о персональных данных:
- высокую в случаях: обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и, которые используются оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных; обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных; обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации; поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации; сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.
- среднюю в случаях: распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети «Интернет» оператора, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных; обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора; продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор; получения согласия на обработку персональных данных посредством реализации на официальном сайте в информационно-телекоммуникационной сети «Интернет» функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных; осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой;
- низкую в случаях: ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных; назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора. Результаты оценки вреда оформляются актом оценки вреда (Приложение № 10 «Акт оценки вреда»).
Сookie – фрагментация данных, комплекс которых хранится на компьютере или ином устройстве посетителя сайта Общества, свидетельствующий о посещенных страницах.
2.2. В состав персональных данных работников Организации входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.
Состав персональных данных:
- фамилия, имя, отчество;
- пол, возраст;
- сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации, допуске к работе;
- место жительства;
- семейное положение, наличие детей, состав семьи, родственные связи;
- факты биографии и предыдущая трудовая деятельность (в том числе место работы, судимость, служба в армии и др.);
- финансовое положение, сведения о заработной плате;
- паспортные данные;
- данные водительского удостоверения;
- сведения о воинском учете и данные военного билета;
- сведения о социальных льготах;
- специальность/профессия;
- занимаемая должность;
- номера телефонов;
- содержание трудового договора;
- подлинники и копии приказов по личному составу;
- личные дела, трудовые книжки и сведения о трудовой деятельности;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемых в органы статистики;
- сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения, которые могут идентифицировать человека.
Сведения, указанные в 2.2. настоящего Положения, и документы, их содержащие, являются конфиденциальными.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении установленного законом срока хранения, если иное не определено законом.
2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.
2.3.1. Документами, содержащими персональные данные, являются в том числе:
- комплекты документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплект материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- трудовой договор и дополнительные соглашения к трудовому договору;
- договор и дополнительные соглашения к договору, если он содержит персональные данные;
- заявления работника, объяснительные, докладные и т.п.;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТД-Р);
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- копии отчетов, направляемых в государственные контролирующие органы;
- иные документы, содержащие сведения о работнике, нахождение которых в личном деле работника необходимо для корректного оформления трудовых правоотношений.
Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку в бумажном или электронном виде, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника);
- справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к которой в соответствии с Трудовым кодексом РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию).
2.3.2. При оформлении работника в Организацию работником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника» и «Карточка гражданина, подлежащего воинскому учёту» по форме № 10, в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и контактных телефонах.
2.3.3. В бухгалтерии Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
2.3.3.1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Организации, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
2.3.3.2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Организации); документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.
3. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА И СУБЪЕКТА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных Субъекта может осуществляться исключительно в целях обеспечения соблюдения положений Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации.При обработке персональных данных Оператор исходит из следующих принципов:
1) при определении объема и содержания обрабатываемых персональных данных Субъекта Оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами РФ.
2) обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только персональные данные, которые отвечают целям их обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
6) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
7) Оператор должен соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
8) при сборе персональных данных по общему правилу использовать базы данных, находящиеся на территории Российской Федерации.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
К целям обработки персональных данных оператора относятся:
- заключение, исполнение и прекращение гражданско-правовых договоров;
- организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
- ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами;
- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
- заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.
3.2. Все персональные данные получаются у Субъекта лично.
Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
Если персональные данные Субъекта возможно получить только у третьей стороны, то такие данные получаются Оператором при обязательном предварительном получении письменного согласия Субъекта персональных данных. При получении указанного согласия Оператор сообщает о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
3.3. Оператор не имеет права получать и обрабатывать персональные данные Субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.4. Оператор не имеет права получать и обрабатывать персональные данные Субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.5. Оператор не имеет права получать и обрабатывать персональные данные Субъекта о его расовой и национальной принадлежности, интимной жизни, религиозной принадлежности и философских взглядах, кроме случаев, прямо предусмотренных законодательством (ст. 10 Закона о персональных данных).
3.6. Оператор не имеет права получать и обрабатывать сведения о Субъекте, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами.
Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 статьи 11 Закона о персональных данных Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
3.7. Субъекты персональных данных, и их представители должны быть ознакомлены под подпись с документами Оператора, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области, в том числе с настоящим положением.
Субъекты персональных данных, и их представители не должны уклоняться от ознакомления с настоящим положением.
3.8. При поступлении на работу в Общество работники дают письменное согласие на обработку их персональных данных. Образец согласия утвержден приложением № 1 к настоящему положению.
3.9. Поскольку обработка персональных данных соискателей на замещение вакантных должностей в рамках отношений, урегулированных ТК РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу, соискатели подписывают соответствующее согласие при предоставлении своих данных. Образец согласия утвержден приложением № 2 к настоящему положению.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней в порядке, используемом Работодателем для уничтожения конфиденциальных документов, с последующим подтверждением уничтожения персональных данных.
3.10. Субъекты персональных данных, не являющиеся работниками Оператора, при оформлении документов, с указанием их персональных данных, дают письменное согласие на предоставление Оператору своих персональных данных в целях их дальнейшей обработки, хранения, передачи и распространения.
3.11. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств, в порядке, установленном федеральным законом.
3.12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3.13. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о контактном лице - в течение суток с момента выявления такого инцидента оператором, самим Роскомнадзором или иным заинтересованным лицом, а о результатах внутреннего расследования выявленного инцидента и о лицах, действия которых стали причиной выявленного инцидента (при наличии) - в течение трех суток (часть 3.1 статьи 21 Закона о персональных данных).
3.14. Оператор, по достижению определенных и законных целей в отношении персональных данных субъекта, обязан вернуть субъекту копии документов или уничтожить персональные данные субъекта с составлением акта об уничтожении персональных данных (Приложение № 8 к настоящему положению), выгрузкой из журнала регистрации событий в информационной системе персональных данных в случае, если обработка персональных данных осуществлялась оператором одновременно с использованием средств автоматизации (Приложение № 9 к настоящему положению). Акт об уничтожении персональных данных, и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
3.14. Субъект персональных данных обязан:
3.14.1. Передавать Оператору или его представителю комплект достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации, в случае, если характер правоотношений не является трудовым, комплект предоставляемых документов определяется индивидуально Оператором и Субъектом.
3.15. Субъект персональных данных имеет право:
3.15.1. Сообщать Оператору об изменении своих персональных данных.
3.15.2. На полную информацию о имеющихся в распоряжении Оператора персональных данных о нем и на получение информации, касающейся обработки его персональных данных, а также о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных.
Сведения, касающиеся обработки персональных данных Субъекта, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
3.15.3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации.
3.15.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством или соглашением Сторон. При отказе Оператора исключить или исправить персональные данные Субъекта он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Субъект имеет право дополнить заявлением, выражающим его собственную точку зрения.
3.15.5. Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
3.15.6. Обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите его персональных данных.
3.15.7. Определять своих представителей для защиты своих персональных данных.
3.15.8. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде (Приложение № 6. «Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения»). Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
3.15.9. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
4. СБОР, ПОЛУЧЕНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъекта персональных данных.4.2. Субъект персональных данных представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, представленные Субъектом, с имеющимися у Субъекта документами.
Представление подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
Представление подложных документов или ложных сведений при оформлении документов гражданско-правового характера, пропусков, иных документов, необходимых в целях осуществления производственной деятельности Оператора, является основанием для расторжения отношений Сторон данных правоотношений.
Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, отказа дать согласие на обработку персональных данных, если в соответствии с Законом о персональных данных получение оператором согласия на обработку персональных данных является обязательным.
Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от
несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.
Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети и компьютерной программе «1С». Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.
Изменение паролей руководителя организации происходит не реже
одного раза в два месяца.
Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, исполнительного директора и главного бухгалтера.
4.3. При поступлении на работу работник заполняет анкету.
4.4.1. Анкета представляет собой перечень вопросов о персональных данных работника.
4.4.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
4.4.3. Анкета работника должна храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
4.4.4. Личное дело работника оформляется после издания приказа о приеме на работу.
4.4.5. Все документы личного дела подшиваются в обложку образца, установленного Работодателем. На ней указываются фамилия, имя, отчество работника, номер личного дела.
4.4.6. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
4.4.7. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
4.4.8. Получение копий документов работников для ознакомления допускается в объеме, отвечающем целям обработки персональных данных работников.
4.5. Оператор имеет право получать и обрабатывать персональные данные только на основании письменного согласия субъекта персональных данных. Исключение составляют случаи, предусмотренные законодательством Российской Федерации (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в пунктах 2 - 11 части 1 статьи 6, пунктах 2.1 - 10 части 2 статьи 10, части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152- ФЗ).
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
Образец согласия на обработку персональных данных утвержден приложением № 1 к настоящему положению.
4.6. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в части 1 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ, допускается, если соблюдаются запреты и условия, предусмотренные статьи 10.1 указанного Закона.
4.7. Письменное согласие Субъекта на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Образец согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержден приложением № 3 к настоящему положению.
4.7.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
1) непосредственно;
2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
4.7.2. Оператор обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
4.7.3. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения.
4.8. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, соблюдать режим конфиденциальности персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, установленных Федеральным законом от 27.07.2006 г. № 152- ФЗ «О персональных данных».
В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанности, по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ, в том числе требование об уведомлении оператора о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав субъектов персональных данных, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.
4.9. В соответствии со статьей 86 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных работника должны соблюдать, в частности, следующие общие требования:
4.9.1. При определении объема и содержания обрабатываемых персональных данных работника Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
4.9.2. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.9.3. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается Работодателем за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.
4.9.4. Работники и их представители должны быть ознакомлены под подписку с документами Работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
4.9.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4.10. При обработке персональных данных в информационных системах Оператор руководствуется Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены приказом ФСТЭК России от 18.02.2013 г. № 21.
4.11. Сведения о Субъектах персональных данных хранятся на бумажных и электронных носителях в помещении отдела кадров Общества, помещениях структурных подразделений Общества (при осуществлении обработки персональных данных должностными лицами данных структурных подразделений), с обеспечением ограниченного доступа к ним. Работники Оператора, имеющие доступ к персональным данным Субъектов, обязаны соблюдать правила обработки персональных данных и обеспечивать ограничение доступа к персональным данным Субъектов персональных данных лицам, не уполномоченным для получения соответствующих сведений.
4.12. При хранении персональных данных Оператор исходит из того, что оно должно осуществляться в форме, позволяющей определить субъекта персональных данных, не больше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.13. Хранение биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В соответствии со статьей 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым Кодексом или иными федеральными законами.Для передачи персональных данных необходимо получить письменное согласие работника, из которого должно быть понятно, кому будут передаваться персональные данные работника и с какой целью.
В соответствии со статьей 88 ТК РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Образец согласия на передачу персональных данных работника третьим лицам утвержден приложением № 4 к настоящему положению.
5.2. Если пользователь сайта дал свое согласие на сбор cookie-файлов с помощью сервиса веб-аналитики «Яндекс.Метрика», это означает, что пользователь дал свое согласие и на передачу указанных данных компании Яндекс (ООО «Яндекс», ОГРН 1027700229193, адрес местонахождения: 119021, Российская Федерация, г. Москва, ул. Льва Толстого, д. 16) для обработки данных пользователя Яндексом в порядке и целях, указанных ниже. Cookie – это небольшие текстовые файлы, размещаемые на компьютере пользователя с целью анализа пользовательской активности. Собранная при помощи cookie информация не может идентифицировать пользователя, однако может помочь Обществу улучшить работу веб-сайта. Информация об использовании пользователем веб-сайта, собранная при помощи cookie, будет передаваться Яндексу и храниться на сервере Яндекса в Российской Федерации. Яндекс будет обрабатывать эту информацию для оценки использования пользователем веб-сайта, составления для Общества отчетов о деятельности веб-сайта и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса «Яндекс.Метрика». Пользователь может отказаться от использования cookies, выбрав соответствующие настройки в своем браузере. Также пользователь может использовать инструмент – https://yandex.ru/support/metrika/general/opt-out.html. Однако, это может повлиять на работу некоторых функций сайта.
5.2.1. Цель обработки: сбор статистической информации о действиях Пользователя на сайте, улучшения качества сайта и его содержания с помощью сервиса интернет-статистики (аналитики) «Яндекс Метрика».
5.2.2. Персональные данные: cookie-файлы.
5.2.3. Категории пользователей, данные которых обрабатываются: все пользователи сайта, которые дали согласие на обработку файлов «cookie» (куки-файлы).
5.2.4. Правовые основания: Гражданский Кодекс РФ; Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», уставные (учредительные) документы Общества, согласия субъектов персональных данных на обработку их персональных данных.
5.2.5. Виды обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
5.2.6. Срок обработки и хранения: до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия.
5.2.7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты: info@rar-logistics.ru, или путём письменного обращения по почтовому адресу: 119619, г Москва, вн.тер.г муниципальный округ Солнцево, ул Авиаторов, 5 / корпус 2, кв 305.
6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Внутренний доступ.Доступ к персональным данным Субъекта персональных данных без получения специального разрешения имеют работники, занимающие следующие должности в Обществе:
- Генеральный директор;
- Исполнительный директор;
- Главный бухгалтер;
- работники бухгалтерии (Общества или иных привлеченных для ведения бухгалтерской работы организаций);
- работники кадровой службы (Общества или иных привлеченных для ведения кадровой работы организаций),
- секретарь Общества, в должностные обязанности которого входит получение персональных данных работников;
- работники юридической службы (при необходимости в рамках осуществления своих трудовых обязанностей);
- работники службы безопасности (при необходимости в рамках осуществления своих трудовых обязанностей);
- работники структурных подразделений, обеспечивающих производственную деятельность Общества (оформление пропусков, передача информации по запросу Заказчика, заказ и выдача спецодежды, направление работника на медицинские осмотры, направление работника на обучение и т.д.);
- руководители структурных подразделений (к сведениям о работниках подчиненных им подразделений в объеме, необходимом для выполнения должностных обязанностей);
- работники аудиторских организаций, проводящие аудиторские проверки в Обществе (в объеме, необходимом для проведения проверки).
При этом указанные лица имеют право получать только те персональные данные Субъекта, которые необходимы для выполнения конкретных функций.
Перечень структурных подразделений, ответственные лица, допущенные к обработке персональных данных, перечень обрабатываемых ими персональных данных утверждаются отдельным приказом по Обществу.
При приеме на работу такие работники дают обязательство не разглашать персональные данные Субъекта персональных данных, которые стали известны им в связи с исполнением ими трудовых обязанностей.
Образец Обязательства о неразглашении персональных данных утвержден приложением № 7 к настоящему положению.
При заключении договоров с аудиторскими, бухгалтерскими и иными организациями, сотрудники которых получают доступ к персональным данным Субъектов, переданных Оператором, в договор вносится условие о неразглашении представителями указанных организаций персональных данных, к которым им был предоставлен доступ.
6.2. Внешний доступ.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Оператор вправе осуществлять передачу персональных данных Субъекта третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных действующим законодательством Российской Федерации.
Перед передачей персональных данных Оператор должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.
Не требуется согласие Субъекта на передачу его персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;
- в налоговые органы;
- в военные комиссариаты;
- по запросу профессиональных союзов, в целях контроля за соблюдением трудового законодательства Работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей;
- в кредитную организацию, обслуживающую платежные карты работников.
6.3. Другие организации.
Сведения о Субъекте персональных данных могут быть предоставлены другой организации только на основании письменного запроса на бланке организации с приложением копии заявления Субъекте персональных данных.
6.4. Родственники и члены семей.
Персональные данные Субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Субъекта.
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В целях обеспечения сохранности и конфиденциальности персональных данных Субъекта все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками Оператора, осуществляющими данную функцию, в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.7.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Оператора и в том объеме, который позволяет не разглашать излишний объем персональных сведений о Субъекте персональных данных.
7.3. Передача информации, содержащей сведения о персональных данных Субъекта, по телефону, факсу, электронной почте без письменного согласия Субъекта запрещается.
7.4. Личные дела и документы, содержащие персональные данные Субъекта, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
7.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
7.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.7. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.8. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.9. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами, с подтверждением факта уничтожения персональных данных.
7.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных (Приложение № 5. «Отзыв согласия на обработку персональных данных») Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами, с подтверждением факта уничтожения персональных данных.
7.11. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами, с подтверждением факта уничтожения персональных данных.
7.12. Подтверждение факта уничтожения персональных данных должно быть оформлено в соответствие с требованиями, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 179 от 28.10.2022 года.
4. СБОР, ПОЛУЧЕНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъекта персональных данных.4.2. Субъект персональных данных представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, представленные Субъектом, с имеющимися у Субъекта документами.
Представление подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
Представление подложных документов или ложных сведений при оформлении документов гражданско-правового характера, пропусков, иных документов, необходимых в целях осуществления производственной деятельности Оператора, является основанием для расторжения отношений Сторон данных правоотношений.
Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, отказа дать согласие на обработку персональных данных, если в соответствии с Законом о персональных данных получение оператором согласия на обработку персональных данных является обязательным.
Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от
несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.
Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети и компьютерной программе «1С». Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.
Изменение паролей руководителя организации происходит не реже
одного раза в два месяца.
Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, исполнительного директора и главного бухгалтера.
4.3. При поступлении на работу работник заполняет анкету.
4.4.1. Анкета представляет собой перечень вопросов о персональных данных работника.
4.4.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
4.4.3. Анкета работника должна храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
4.4.4. Личное дело работника оформляется после издания приказа о приеме на работу.
4.4.5. Все документы личного дела подшиваются в обложку образца, установленного Работодателем. На ней указываются фамилия, имя, отчество работника, номер личного дела.
4.4.6. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
4.4.7. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
4.4.8. Получение копий документов работников для ознакомления допускается в объеме, отвечающем целям обработки персональных данных работников.
4.5. Оператор имеет право получать и обрабатывать персональные данные только на основании письменного согласия субъекта персональных данных. Исключение составляют случаи, предусмотренные законодательством Российской Федерации (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в пунктах 2 - 11 части 1 статьи 6, пунктах 2.1 - 10 части 2 статьи 10, части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152- ФЗ).
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
Образец согласия на обработку персональных данных утвержден приложением № 1 к настоящему положению.
4.6. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в части 1 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ, допускается, если соблюдаются запреты и условия, предусмотренные статьи 10.1 указанного Закона.
4.7. Письменное согласие Субъекта на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Образец согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержден приложением № 3 к настоящему положению.
4.7.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
1) непосредственно;
2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
4.7.2. Оператор обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
4.7.3. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения.
4.8. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, соблюдать режим конфиденциальности персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, установленных Федеральным законом от 27.07.2006 г. № 152- ФЗ «О персональных данных».
В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанности, по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ, в том числе требование об уведомлении оператора о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав субъектов персональных данных, предусмотренных частью 3.1 статьи 21 Закона о персональных данных.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.
4.9. В соответствии со статьей 86 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных работника должны соблюдать, в частности, следующие общие требования:
4.9.1. При определении объема и содержания обрабатываемых персональных данных работника Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
4.9.2. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.9.3. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается Работодателем за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами.
4.9.4. Работники и их представители должны быть ознакомлены под подписку с документами Работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
4.9.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4.10. При обработке персональных данных в информационных системах Оператор руководствуется Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены приказом ФСТЭК России от 18.02.2013 г. № 21.
4.11. Сведения о Субъектах персональных данных хранятся на бумажных и электронных носителях в помещении отдела кадров Общества, помещениях структурных подразделений Общества (при осуществлении обработки персональных данных должностными лицами данных структурных подразделений), с обеспечением ограниченного доступа к ним. Работники Оператора, имеющие доступ к персональным данным Субъектов, обязаны соблюдать правила обработки персональных данных и обеспечивать ограничение доступа к персональным данным Субъектов персональных данных лицам, не уполномоченным для получения соответствующих сведений.
4.12. При хранении персональных данных Оператор исходит из того, что оно должно осуществляться в форме, позволяющей определить субъекта персональных данных, не больше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.13. Хранение биометрических персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В соответствии со статьей 88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым Кодексом или иными федеральными законами.Для передачи персональных данных необходимо получить письменное согласие работника, из которого должно быть понятно, кому будут передаваться персональные данные работника и с какой целью.
В соответствии со статьей 88 ТК РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Образец согласия на передачу персональных данных работника третьим лицам утвержден приложением № 4 к настоящему положению.
5.2. Если пользователь сайта дал свое согласие на сбор cookie-файлов с помощью сервиса веб-аналитики «Яндекс.Метрика», это означает, что пользователь дал свое согласие и на передачу указанных данных компании Яндекс (ООО «Яндекс», ОГРН 1027700229193, адрес местонахождения: 119021, Российская Федерация, г. Москва, ул. Льва Толстого, д. 16) для обработки данных пользователя Яндексом в порядке и целях, указанных ниже. Cookie – это небольшие текстовые файлы, размещаемые на компьютере пользователя с целью анализа пользовательской активности. Собранная при помощи cookie информация не может идентифицировать пользователя, однако может помочь Обществу улучшить работу веб-сайта. Информация об использовании пользователем веб-сайта, собранная при помощи cookie, будет передаваться Яндексу и храниться на сервере Яндекса в Российской Федерации. Яндекс будет обрабатывать эту информацию для оценки использования пользователем веб-сайта, составления для Общества отчетов о деятельности веб-сайта и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса «Яндекс.Метрика». Пользователь может отказаться от использования cookies, выбрав соответствующие настройки в своем браузере. Также пользователь может использовать инструмент – https://yandex.ru/support/metrika/general/opt-out.html. Однако, это может повлиять на работу некоторых функций сайта.
5.2.1. Цель обработки: сбор статистической информации о действиях Пользователя на сайте, улучшения качества сайта и его содержания с помощью сервиса интернет-статистики (аналитики) «Яндекс Метрика».
5.2.2. Персональные данные: cookie-файлы.
5.2.3. Категории пользователей, данные которых обрабатываются: все пользователи сайта, которые дали согласие на обработку файлов «cookie» (куки-файлы).
5.2.4. Правовые основания: Гражданский Кодекс РФ; Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», уставные (учредительные) документы Общества, согласия субъектов персональных данных на обработку их персональных данных.
5.2.5. Виды обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
5.2.6. Срок обработки и хранения: до получения от субъекта персональных данных требования о прекращении обработки/отзыва согласия.
5.2.7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты: info@rar-logistics.ru, или путём письменного обращения по почтовому адресу: 119619, г Москва, вн.тер.г муниципальный округ Солнцево, ул Авиаторов, 5 / корпус 2, кв 305.
6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Внутренний доступ.Доступ к персональным данным Субъекта персональных данных без получения специального разрешения имеют работники, занимающие следующие должности в Обществе:
- Генеральный директор;
- Исполнительный директор;
- Главный бухгалтер;
- работники бухгалтерии (Общества или иных привлеченных для ведения бухгалтерской работы организаций);
- работники кадровой службы (Общества или иных привлеченных для ведения кадровой работы организаций),
- секретарь Общества, в должностные обязанности которого входит получение персональных данных работников;
- работники юридической службы (при необходимости в рамках осуществления своих трудовых обязанностей);
- работники службы безопасности (при необходимости в рамках осуществления своих трудовых обязанностей);
- работники структурных подразделений, обеспечивающих производственную деятельность Общества (оформление пропусков, передача информации по запросу Заказчика, заказ и выдача спецодежды, направление работника на медицинские осмотры, направление работника на обучение и т.д.);
- руководители структурных подразделений (к сведениям о работниках подчиненных им подразделений в объеме, необходимом для выполнения должностных обязанностей);
- работники аудиторских организаций, проводящие аудиторские проверки в Обществе (в объеме, необходимом для проведения проверки).
При этом указанные лица имеют право получать только те персональные данные Субъекта, которые необходимы для выполнения конкретных функций.
Перечень структурных подразделений, ответственные лица, допущенные к обработке персональных данных, перечень обрабатываемых ими персональных данных утверждаются отдельным приказом по Обществу.
При приеме на работу такие работники дают обязательство не разглашать персональные данные Субъекта персональных данных, которые стали известны им в связи с исполнением ими трудовых обязанностей.
Образец Обязательства о неразглашении персональных данных утвержден приложением № 7 к настоящему положению.
При заключении договоров с аудиторскими, бухгалтерскими и иными организациями, сотрудники которых получают доступ к персональным данным Субъектов, переданных Оператором, в договор вносится условие о неразглашении представителями указанных организаций персональных данных, к которым им был предоставлен доступ.
6.2. Внешний доступ.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Оператор вправе осуществлять передачу персональных данных Субъекта третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных действующим законодательством Российской Федерации.
Перед передачей персональных данных Оператор должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.
Не требуется согласие Субъекта на передачу его персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;
- в налоговые органы;
- в военные комиссариаты;
- по запросу профессиональных союзов, в целях контроля за соблюдением трудового законодательства Работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей;
- в кредитную организацию, обслуживающую платежные карты работников.
6.3. Другие организации.
Сведения о Субъекте персональных данных могут быть предоставлены другой организации только на основании письменного запроса на бланке организации с приложением копии заявления Субъекте персональных данных.
6.4. Родственники и члены семей.
Персональные данные Субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Субъекта.
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ. УТОЧНЕНИЕ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В целях обеспечения сохранности и конфиденциальности персональных данных Субъекта все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками Оператора, осуществляющими данную функцию, в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.7.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Оператора и в том объеме, который позволяет не разглашать излишний объем персональных сведений о Субъекте персональных данных.
7.3. Передача информации, содержащей сведения о персональных данных Субъекта, по телефону, факсу, электронной почте без письменного согласия Субъекта запрещается.
7.4. Личные дела и документы, содержащие персональные данные Субъекта, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
7.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
7.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.7. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.8. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.9. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами, с подтверждением факта уничтожения персональных данных.
7.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных (Приложение № 5. «Отзыв согласия на обработку персональных данных») Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами, с подтверждением факта уничтожения персональных данных.
7.11. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами, с подтверждением факта уничтожения персональных данных.
7.12. Подтверждение факта уничтожения персональных данных должно быть оформлено в соответствие с требованиями, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 179 от 28.10.2022 года.
Приложение № 4
к Положению об обработке и защите персональных
данных ООО «РАР ЛОДЖИСТИКС»
Согласие работника на передачу
персональных данных третьим лицам
Я [Ф. И. О.] [число, месяц, год] рождения, паспорт [серия, номер, когда и кем выдан], зарегистрированный по адресу: [указать адрес], работающий в [указать наименование юридического лица - Оператора] в должности [указать наименование должности] по трудовому договору № [значение] от [число, месяц, год], в соответствии с положениями статьи 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», статьи 88 ТК РФ настоящим сознательно и однозначно, свободно, своей волей, и в своем интересе даю согласие [указать наименование юридического лица - Оператора] на передачу моих персональных данных третьим лицам - иным операторам.
Персональные данные передаются [указать наименование оператора(ов)] с целью [указать цель, с которой передаются персональные данные].
Передаче подлежат следующие персональные данные: [перечислить персональные данные, которые подлежат передаче третьим лицам].
Подтверждаю, что ознакомлен с положением об обработке и защите персональных данных [указать наименование юридического лица - работодателя]. Мне разъяснены права и обязанности в области защиты персональных данных, а также право работодателя обрабатывать (в том числе и передавать) часть моих персональных данных без моего согласия, в соответствии с законодательством РФ.
В соответствии с положениями части 2 статьи 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» оставляю за собой право отозвать данное согласие. Ответственность за неблагоприятные последствия отзыва согласия беру на себя.
Настоящее согласие дано мной добровольно и действует до отзыва в установленном законом порядке.
______________ ______________________ __________________
Дата Подпись Фамилия, инициалы
Приложение № 5
к Положению об обработке и защите персональных
данных ООО «РАР ЛОДЖИСТИКС»
Кому _______________________________
от _______________________________
паспорт: серия__________ № _____________ выдан: _______________________________
_______________________________
Зарегистрированного по адресу: _______________________________ _______________________________
ОТЗЫВ СОГЛАСИЯ
на обработку персональных данных
Я, [Ф. И. О.] [число, месяц, год] рождения, паспорт [серия, номер, когда и кем выдан, код подразделения], зарегистрированный по адресу: [указать адрес], в соответствии с пунктами 1, 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ отзываю свое согласие, ранее выданное [указать наименование юридического лица - Оператора] на обработку моих персональных данных.
Прошу прекратить обработку моих персональных данных в течение трех рабочих дней с момента поступления настоящего отзыва.
______________ ______________________ __________________
Дата Подпись Фамилия, инициалы
Приложение № 6
к Положению об обработке и защите персональных
данных ООО «РАР ЛОДЖИСТИКС»
Кому _______________________________
от _______________________________
паспорт: серия__________ № _____________ выдан: _______________________________
_______________________________
Зарегистрированного по адресу: _______________________________ _______________________________
Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения
Я, [Ф. И. О.] [число, месяц, год] рождения, паспорт [серия, номер, когда и кем выдан], зарегистрированный по адресу: [указать адрес], в соответствии с пунктом 14 статьи 10.1 Закона от 27.07.2006 г. № 152-ФЗ отзываю свое согласие, ранее выданное [указать наименование юридического лица - Оператора] на распространение моих персональных данных, в связи с нарушением правил обработки персональных данных, разрешенных субъектом персональных данных для распространения.Прошу прекратить обработку моих персональных данных в течение трех рабочих дней с момента поступления настоящего требования и сообщить мне перечень третьих лиц, которым мои персональные данные были переданы.
______________ ______________________ __________________
Дата Подпись Фамилия, инициалы
Приложение № 7
к Положению об обработке и защите персональных
данных ООО «РАР ЛОДЖИСТИКС»
ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных
Я, [Ф. И. О.], [число, месяц, год] рождения, паспорт [серия, номер, когда и кем выдан, код подразделения], зарегистрированный(-ая) по адресу: [указать адрес], занимающий(-ая) должность: [вписать нужное] в [наименование организации], именуемом далее Общество, понимаю, что получаю доступ к персональным данным [работников, контрагентов и клиентов] Общества с ограниченной ответственностью «РАР ЛОДЖИСТИКС» (далее – ООО «РАР ЛОДЖИСТИКС», Общество, ОГРН 1237700153107, ИНН 9729341157, КПП 772901001, адрес местонахождения: 119619, г Москва, вн.тер.г муниципальный округ Солнцево, ул Авиаторов, 5 / корпус 2, кв 305) и во время исполнения своих обязанностей осуществляю их обработку (в том числе сбор, запись, систематизацию, накопление, хранение, уточнение, использование и передачу).В связи с тем, что занимаемая должность предполагает доступ к персональным данным работников Общества, обязуюсь соблюдать требования к обработке персональных данных работников, установленные Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», иными нормативными правовыми актами, а также Положением об обработке и защите персональных данных работников Общества. Обязуюсь обеспечить конфиденциальность процесса получения, обработки, хранения и уничтожения персональных данных работников, доступ к которым предоставлен мне в связи с выполняемой работой.
Я понимаю, что разглашение такого рода информации может нанести прямой и (или) косвенный ущерб [работникам, контрагентам и клиентам] ООО «РАР ЛОДЖИСТИКС», а также ООО «РАР ЛОДЖИСТИКС».
Настоящим добровольно принимаю на себя обязательства:
– не передавать (в любом виде) и не разглашать третьим лицам, не имеющим на это право в силу выполняемых ими должностных обязанностей или в соответствии с решением руководителя, информацию, содержащую персональные данные работников (за исключением собственных данных), которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей;
– сообщать своему руководству о попытках третьих лиц получить от меня информацию, содержащую персональные данные;
– не использовать информацию, содержащую персональные данные, с целью получения выгоды;
– выполнять требования закона и иных нормативных правовых актов Российской Федерации, а также внутренних документов ООО «РАР ЛОДЖИСТИКС», регламентирующих вопросы защиты интересов субъектов персональных данных, порядка обработки и защиты персональных данных;
– после прекращения моих прав на допуск к информации, содержащей персональные данные (переход на должность, не предусматривающую доступ к персональным данным, или прекращение трудового договора), не обрабатывать, не разглашать и не передавать третьим лицам и лицам, не уполномоченным на обработку персональных данных работников, контрагентов и клиентов ООО «РАР ЛОДЖИСТИКС», известную мне информацию, содержащую персональные данные.
Я предупрежден(а) о том, что в случае нарушения данного обязательства буду привлечен к ответственности по правилам статьи 90 Трудового кодекса РФ.
Я понимаю, что разглашение такого рода информации может нанести ущерб работникам ООО «РАР ЛОДЖИСТИКС» – как прямой, так и косвенный.
Я проинформирован, что доступ к персональным данным работников Общества разрешен только лицам, указанным в обработке и защите персональных данных, и передача третьим лицам любых сведений, составляющих персональные данные работников, без разрешения генерального директора и получения согласия субъекта персональных данных категорически запрещена.
В связи с этим даю обязательство соблюдать настоящее Обязательство и все описанные в Положении об обработке и защите персональных данных ООО «РАР ЛОДЖИСТИКС» требования.
С Положением об обработке и защите персональных данных ООО «РАР ЛОДЖИСТИКС» и гарантиях их защиты ознакомлен(а):
______________ ______________________ __________________
Дата Подпись Фамилия, инициалы
Приложение № 8
к Положению об обработке и защите персональных
данных ООО «РАР ЛОДЖИСТИКС»
Акт
об уничтожении персональных данных
[место составления акта] [число, месяц, год]Комиссия, наделенная полномочиями приказом [должность, фамилия, инициалы лица, издавшего приказ] N [значение] от [число, месяц, год], в составе:
председатель комиссии [должность, фамилия, имя, отчество (при наличии)]
члены комиссии [должность, фамилия, имя, отчество (при наличии)]
[должность, фамилия, имя, отчество (при наличии)]
в соответствии со статьей 21 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в связи с [указать причину уничтожения персональных данных: невозможность обеспечения правомерности обработки персональных данных/достижение цели обработки персональных данных/отзыв субъектом персональных данных согласия на обработку его персональных данных] приняла решение об уничтожении персональных данных [фамилия, имя, отчество (при наличии) субъекта или иная информация, относящаяся к определенному физическому лицу, чьи персональные данные были уничтожены] (далее - субъект персональных данных), обрабатываемых [наименование (юридического лица) или фамилия, имя, отчество (при наличии) (физического лица) оператора/лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора],
адрес: [вписать нужное].
Уничтожены следующие персональные данные субъекта персональных данных: [указать перечень категорий, уничтоженных персональных данных].
Примечание. Если обработка персональных данных осуществляется оператором без использования средств автоматизации:
Уничтожен материальный носитель, содержащий персональные данные субъекта персональных данных: [наименование носителя], на [указать количество] листах.
Материальный носитель, содержащий персональные данные субъекта персональных данных, уничтожен [дата уничтожения] в присутствии членов комиссии путем [указать способ уничтожения: измельчения в шредере/сжигания и т. п.].
Примечание. Если обработка персональных данных осуществляется оператором с использованием средств автоматизации:
Информационная система персональных данных, из которой были уничтожены персональные данные субъекта персональных данных: [наименование].
Персональные данные субъекта персональных данных в электронном виде уничтожены [дата уничтожения] в присутствии членов комиссии путем [указать способ уничтожения: стирания с информационных носителей/физического уничтожения носителей, на которых хранится информация].
Настоящий акт составлен в [указать количество] экземплярах.
Содержание данного акта подтверждаем личными подписями:
Председатель комиссии:
[должность, подпись, инициалы, фамилия]
Члены комиссии:
[должность, подпись, инициалы, фамилия]
Приложение № 9
к Положению об обработке и защите персональных
данных ООО «РАР ЛОДЖИСТИКС»
Акт
уничтожения съемных носителей персональных данных
г. [место составления акта] [число, месяц, год]
Комиссия, наделенная полномочиями приказом [должность, фамилия, инициалы лица, издавшего приказ] от [число, месяц, год] N [значение], в составе: [должность, фамилия, инициалы], [должность, фамилия, инициалы] провела отбор съемных носителей персональных данных, не подлежащих дальнейшему хранению:N п/п | Дата | Учетный номер съемного носителя | Пояснения |
1 | 2 | 3 | 4 |
|
|
|
|
Всего съемных носителей - [количество цифрами и прописью] штук.
На съемных носителях уничтожена конфиденциальная информация путем [указать способ уничтожения, например, путем стирания ее на устройстве гарантированного уничтожения информации/механического уничтожения/сжигания и т. п.].
Вышеперечисленные съемные носители [уничтожены путем (указать способ уничтожения, например, путем разрезания/демонтажа и т. п.)/сданы (число, месяц, год) для уничтожения предприятию по утилизации вторичного сырья (наименование предприятия)].
Председатель комиссии: [должность, подпись, инициалы, фамилия]
[число, месяц, год]
Члены комиссии: [должность, подпись, инициалы, фамилия]
[число, месяц, год]
Приложение № 10
к Положению об обработке и защите персональных
данных ООО «РАР ЛОДЖИСТИКС»
Акт оценки вреда
г. [место составления акта] [число, месяц, год]
Комиссия, действующая на основании приказа № _____ от «___» ________ 20___ года, в составе председателя комиссии ______________ и членов комиссии ___________________, во исполнение Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и приказа Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» составила акт по результатам оценки вреда:№ п/п | Действия, которые осуществляет организация при обработке персональных данных | Степень вреда, который может быть причинен субъекту персональных данных при нарушении
|
1 | Публикация персональных данных сотрудников на официальном сайте компании в виде Ф. И. О. и указания должности | Средняя |
2 | Обработка персональных данных, связанных с состоянием здоровья
| Высокая |
3 | <…> |
|
Исполнительный директор [должность, подпись, инициалы, фамилия]
Дата проведения оценки вреда: [число, месяц, год]
Председатель комиссии: [должность, подпись, инициалы, фамилия]
[число, месяц, год]
Члены комиссии: [должность, подпись, инициалы, фамилия]
[число, месяц, год]