1. Общие положения
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников ООО «Шумахер» (далее – Оператор, Работодатель), а также прочих физических лиц. Под работниками подразумеваются лица, заключившие трудовой договор с Работодателем.
1.2. Цель настоящего Положения — защита персональных данных физических лиц, в том числе работников ООО «Шумахер», от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», другие действующие нормативные правовые акты Российской Федерации.
1.4. В целях настоящего положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
1.5. Персональными данными, разрешенными субъектом персональных данных для распространения, являются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1.6. Состав персональных данных:
1.6.1. Работники оператора (в том числе бывшие работники) для исполнения требований трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
— фамилия, имя, отчество (при наличии);
— пол;
— гражданство;
— дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
— адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
— сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
— контактная информация (номер телефона, адрес электронной почты, почтовый адрес);
— занимаемая должность;
— сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));
— идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
— данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
— данные полиса обязательного медицинского страхования;
— данные паспорта или иного удостоверяющего личность документа;
— данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;
— данные трудовой книжки, вкладыша в трудовую книжку;
— сведения о воинском учете (серия, номер, дата (число, месяц, год) выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на (с) учет(а), о прохождении военной службы, о пребывании в запасе, о медицинском освидетельствовании и прививках);
— сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
— сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам);
— сведения о наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, дата (число, месяц, год) присвоения, реквизиты документа о награждении или поощрении);
— сведения о дисциплинарных взысканиях;
— сведения, содержащиеся в материалах служебных проверок;
— сведения о семейном положении, наличии детей;
— сведения о близких родственниках;
— сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;
— номер расчетного счета;
— персональные данные, необходимые для выдачи СИЗ;
— фотографии;
1.6.2. Члены семьи работников оператора для исполнения требований трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:
— фамилия, имя, отчество (при наличии);
— степень родства;
— год рождения.
1.6.3. Кандидаты на вакантные должности в целях привлечения и отбора кандидатов на работу у оператора:
— фамилия, имя, отчество (при наличии);
— пол;
— гражданство;
— дата (число, месяц, год) и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
— адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
— сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
— номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
— сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));
— сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
— сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам);
— сведения о владении иностранными языками (иностранный язык, уровень владения);
— сведения о семейном положении;
— фотографии (при наличии);
— иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
1.6.4. Клиенты, контрагенты оператора (физические лица) в связи с заключением договора, стороной которого является субъект персональных данных, для исполнения указанного договора:
— фамилия, имя, отчество (при наличии);
— дата (число, месяц, год) рождения и место рождения (страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт);
— адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
— сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
— номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
— идентификационный номер налогоплательщика (дата (число, месяц, год) и место постановки на учет, дата (число, месяц, год) выдачи свидетельства);
— данные паспорта или иного удостоверяющего личность документа;
— номер расчетного счета (где применимо);
— иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договора.
1.6.5. Представители/работники клиентов и контрагентов оператора (юридических лиц) в связи с заключением договора, стороной которого является клиент/контрагент оператора (юридическое лицо), для исполнения указанного договора:
— фамилия, имя, отчество (при наличии);
— номера телефонов (мобильный, рабочий), адрес электронной почты;
— занимаемая должность;
— данные паспорта или иного удостоверяющего личность документа;
— иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов оператора (юридических лиц), необходимые для заключения и исполнения договора.
1.6.6. Посетители оператора в целях осуществления контрольно-пропускного режима на территории оператора (для однократного пропуска на территорию):
— фамилия, имя, отчество (при наличии);
— данные паспорта или иного удостоверяющего личность документа;
— сведения о регистрации по месту жительства или пребывания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира).
1.7. Из указанного списка Оператор вправе получать и использовать только те сведения, которые необходимы для достижения заявленных целей обработки персональных данных субъекта в соответствии с Политикой общества с ограниченной ответственностью «Шумахер» в отношении обработки персональных данных.
1.8. Сведения, указанные в п. 1.6. настоящего Положения, и документы, их содержащие, являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 5 лет срока хранения, если иное не определено законом.
1.9. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом. Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
1.10. Настоящее Положение вступает в силу с 1 марта 2023 г.
2. Получение и обработка персональных данных физических лиц
2.1. Обязанности Оператора в качестве Работодателя:
2.1.1. В целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
2.1.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
2.1.1.2. При определении объема и содержания обрабатываемых персональных данных работника Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
2.1.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
2.1.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
2.1.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
2.1.1.6. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
2.1.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Работодателем за счет его средств в порядке, установленном федеральным законом.
2.1.1.8. Работники и их представители должны быть ознакомлены под подпись с локальными актами Работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
2.1.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
2.2. Обязанности работника:
2.2.1. Передавать Работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.
2.2.2. Своевременно в разумный срок, не превышающий 5 календарных дней, сообщать Работодателю об изменении своих персональных данных.
2.3. Права работника:
2.3.1. На полную информацию о своих персональных данных и обработке этих данных.
2.3.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством Российской Федерации.
2.3.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
2.3.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе Работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.
2.3.5. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
2.3.6. Обжаловать в суд любые неправомерные действия или бездействие Работодателя при обработке и защите его персональных данных.
2.3.7. Определять своих представителей для защиты своих персональных данных.
2.3.8. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
2.4. Обязанности Оператора в отношении персональных данных прочих лиц
2.4.1. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных физических лиц обязаны соблюдать следующие общие требования:
2.4.1.1. Обработка персональных данных физических лиц может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, заключения, исполнения и прекращения гражданско-правовых договоров, осуществление контрольно-пропускного режима на территории Оператора (для однократного пропуска на территорию).
2.4.1.2. При определении объема и содержания обрабатываемых персональных данных физических лиц Оператор должен руководствоваться Конституцией Российской Федерации, федеральными законами Российской Федерации и иными нормативно-правовыми, подзаконными актами, а также заявленными целями обработки персональных данных субъекта в соответствии с Политикой общества с ограниченной ответственностью «Шумахер» в отношении обработки персональных данных.
2.4.1.3. Все персональные данные физического лица следует получать у него самого. Если персональные данные физического лица возможно получить только у третьей стороны, то данное лицо должно быть уведомлено об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить физическому лицу о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа данного лица дать письменное согласие на их получение. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
2.4.1.4. Защита персональных данных физических лиц от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном федеральным законом.
2.5. Права физических лиц в отношении Оператора
2.5.1. На полную информацию о своих персональных данных и обработке этих данных.
2.5.2. Обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите его персональных данных.
2.5.3. Требовать прекратить в любое время обработку персональных данных, разрешенных для распространения. Требование оформляется в письменном виде, а также должно содержать перечень персональных данных, обработка которых подлежит прекращению.
2.5.4. Отозвать согласие на обработку персональных данных.
2.6. Обработка персональных данных работника либо прочих физических лиц — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника либо прочих физических лиц.
2.6.1. Для цели исполнения требований трудового законодательства:
2.6.1.1. Работник представляет Работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
2.6.1.2. Личное дело работника оформляется после издания приказа о приеме на работу.
2.6.1.3. Все документы личного дела подшиваются в обложку образца, установленного Работодателем. На ней указываются фамилия, имя, отчество (при наличии) работника, номер личного дела.
2.6.1.4. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
2.6.1.5. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
2.6.1.6. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.
2.6.1.7. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.
2.6.1.8. Обработка персональных данных работников Работодателем возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством Российской Федерации (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, п. п. 2.1 — 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
2.6.1.9. Письменное согласие работника на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 — 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
2.6.1.10. Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
2.6.1.11. Письменное согласие на обработку персональных данных, разрешенных для распространения, работник предоставляет Работодателю лично.
2.6.1.12. Работодатель обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
2.6.1.13. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Работодателю требования, указанного в п. 2.3.8. настоящего Положения.
2.6.1.14. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» или другими федеральными законами.
2.6.1.15. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» или другими федеральными законами.
2.6.1.16. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий семи рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.6.1.17. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 2.6.1.14 — 2.6.1.16, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
2.6.2. Для цели заключения, исполнения и прекращения гражданско-правовых договоров:
2.6.2.1. Субъект персональных данных представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, представленные, с имеющимися у субъекта персональных данных документами.
2.6.2.2. Все документы (материальные носители), поступающие во исполнение цели заключения, исполнения, прекращения договоров хранятся с непосредственно с материальным носителем договора, способом, обеспечивающим необходимую степень защиты.
2.6.2.3. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных федеральными законами.
2.6.2.4. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.
2.6.2.5. Обработка персональных данных субъектов возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством Российской Федерации (в частности, согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, п. п. 2.1 — 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
2.6.2.6. Письменное согласие субъекта на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 — 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
2.6.2.7. Письменное согласие субъекта на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
2.6.2.8. Письменное согласие на обработку персональных данных, разрешенных для распространения, субъект предоставляет Оператору лично.
2.6.2.9. Оператор обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
2.6.2.10. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 7.3. настоящего Положения.
2.6.2.11. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» или другими федеральными законами.
2.6.2.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» или другими федеральными законами.
2.6.2.13. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.6.2.14. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 8.3.11 – 8.3.12, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
2.6.3. Для цели осуществления контрольно-пропускного режима на территории Оператора (для однократного пропуска на территорию):
2.6.3.1. Субъект персональных данных представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, представленные, с имеющимися у субъекта персональных данных документами.
2.6.3.2. Все персональные данные, поступающие во исполнение данной цели, вносятся в журнал учета лиц, который хранится непосредственно на пункте пропуска. По окончанию ведения журнала, он хранится способом, обеспечивающим необходимую степень защиты.
2.6.3.3. Обработка персональных данных субъектов возможна только с их согласия. Письменное согласие субъекта на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 — 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
2.6.3.4. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» или другими федеральными законами.
2.6.3.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» или другими федеральными законами.
2.6.3.6. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку, за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.6.3.7. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 8.4.4 – 8.4.5, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
3. Передача персональных данных
3.1. При передаче персональных данных работника Оператор должен соблюдать следующие требования:
— не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных Трудовым кодексом Российской Федерации или иными федеральными законами;
— не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
— предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;
— разрешать доступ к персональным данным субъектов персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
— передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
4. Доступ к персональным данным
4.1. Внутренний доступ.
Право доступа к персональным данным работника (бывшего работника, кандидата) имеют:
— руководитель Оператора;
— лица, ответственные за кадровую работу;
— руководители структурных подразделений (заместители генерального директора);
— работники бухгалтерии — к тем данным, которые необходимы для выполнения конкретных функций;
— помощник руководителя/секретарь-референт;
— ответственный за обработку персональных данных;
— руководители отделов, департаментов, цехов, производственных участков (либо аналогичных структурных единиц) в части выполнения конкретных функций;
— юрист (в части выполнения конкретных функций);
— экономист (в части выполнения конкретных функций);
— кладовщик (в части выполнения конкретных функций);
— сам работник – субъект персональных данных.
Право доступа к персональным данным иных физических лиц (контрагентов, партнеров) имеют:
— руководитель Оператора;
— руководители структурных подразделений (заместители генерального директора);
— ведущий и старший менеджеры;
— менеджер по рекламе (либо лицо с аналогичными обязанностями);
— помощник руководителя/секретарь-референт;
— ответственный за обработку персональных данных;
— работники бухгалтерии — к тем данным, которые необходимы для выполнения конкретных функций;
— руководители отделов, департаментов, цехов, производственных участков (либо аналогичных структурных единиц) в части выполнения конкретных функций;
— юрист (в части выполнения конкретных функций);
— кладовщик (в части выполнения конкретных функций);
— сторож-истопник (исключительно в части фиксации прибывающих на предприятие лиц).
Право доступа к персональным данным члены семьи работников имеют:
— руководитель Оператора;
— руководители структурных подразделений (заместители генерального директора);
— лица, ответственные за кадровую работу;
— работники бухгалтерии — к тем данным, которые необходимы для выполнения конкретных функций;
Право доступа к персональным данным посетителей ООО «Шумахер»:
— руководитель Оператора;
— руководители структурных подразделений (первые заместители, заместители директора);
— помощник руководителя/секретарь-референт;
— ответственный за обработку персональных данных;
— сторож-истопник (в целях осуществления контрольно-пропускного режима).
4.2. Внешний доступ.
Перед передачей персональных данных Оператор должен предупредить третье лицо, получающее персональные данные, о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.
Работодатель вправе осуществлять передачу персональных данных работника третьим лицам только с его предварительного письменного согласия. Не требуется согласие работника на передачу его персональных данных:
— третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
— в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;
— в налоговые органы;
— в военные комиссариаты;
— по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства Работодателем;
— по мотивированному запросу органов прокуратуры;
— по мотивированному требованию правоохранительных органов и органов безопасности;
— по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
— по запросу суда;
— в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
— в случаях, связанных с исполнением работником должностных обязанностей;
— в кредитную организацию, обслуживающую платежные карты работников.
4.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
4.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
4.5 Не требуется согласие прочих физических лиц на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных действующим законодательством Российской Федерации.
5. Защита персональных данных субъектов
5.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников, а также иных физических лиц все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только ответственными лицами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях и имеющими доступ к указанным сведениям в соответствии с п. 10.1 настоящего Положения.
5.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Оператора и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках.
5.3. Передача информации, содержащей сведения о персональных данных работников, по телефону, факсу, электронной почте без принятия мер шифрования/паролирования и письменного согласия работника запрещается.
5.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
5.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
6. Ответственность за разглашение информации, связанной с персональными данными
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, установленных действующим законодательством РФ и локальными актами Оператора, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
6.2. Работники, указанные в п. 10.1. настоящего Положения, несут персональную ответственность за разглашение персональных данных, полученных данными лицами при исполнении трудовых обязанностей и функций.
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
7.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 10 (десяти) рабочих дней с момента обращения либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Ответ дается в той же форме, в какой поступил запрос, если в запросе не указано иное.
7.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
— в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
— в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
— в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.