ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ
«Управленческие системы в логистике»
УТВЕРЖДАЮ: Генеральный директор ___________С.Л. Уткин «01» мая 2024 г.ПОЛОЖЕНИЕ О РАБОТЕ
С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
ООО «Управленческие системы в логистике»
г. Санкт-Петербург, 2024 г.
Содержание:
1. Общие положения
2. Состав персональных данных
3. Сбор, обработка и защита персональных данных
4. Хранение персональных данных
5. Передача персональных данных
6. Обязанности оператора
7. Права субъекта в целях защиты персональных данных
8. Лица, ответственные за организацию обработки персональных данных в организации
9. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
10. Заключительные положения
Приложения:
1. Уведомление о предстоящей обработке персональных данных
2. Согласие субъекта персональных данных на обработку персональных данных
3. Уведомление на получение персональных данных у третьей стороны
4. Письменное заявление субъекта персональных данных на передачу персональных данных от третьей стороны
5. Список специально уполномоченных лиц в получении персональных данных
6. Список лиц, имеющих доступ к персональным данным без специального разрешения
7. Мотивированный ответ в случае отказа в предоставлении информации
8. Журнал учета переданной информации, выданных копий документов,
содержащих персональные данные
9. Согласие на передачу персональных данных третьей стороне
1. Общие положения
1.1. Целью настоящего Положения является обеспечение защиты прав субъектов Общества с ограниченной ответственностью «Управленческие системы в логистике» (ООО «УСЛ») в отношении их персональных данных и операций с ними, определение правового режима использования персональных данных и функций работодателя.
1.2. Положение определяет порядок получения, обработки, хранения, передачи и любого другого использования персональных данных субъектов в ООО «УСЛ», а также ведения их личных дел (в случае, когда они ведутся) в соответствии с действующим законодательством Российской Федерации.
1.3. Положение разработано в соответствии:
- со статьями 23, 24 Конституции РФ;
- со статьями 57, 65, 81, 85-88, 90, 192 Трудового кодекса РФ;
- с требованиями Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- с Перечнем сведений конфиденциального характера, утвержденным указом Президента РФ от 06.03.1997г. № 188;
- с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 г. N 687.
1.4. Используемые в настоящем Положении термины применяются в значении, определенном в Федеральном законе от 27.07.06г. № 152-ФЗ «О персональных данных»
1)
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2)
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3)
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
3-1)
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
3-2)
неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, в отношении каждого из субъектов персональных данных, осуществляемая при непосредственном участии человека.
4)
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
5)
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
6)
передача персональных данных - действия, определяемые как распространение или предоставление персональных данных либо предоставление доступа к персональным данным.
7)
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8)
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9)
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10)
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11)
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требований действующего законодательства РФ о предотвращении раскрытия либо распространения без согласия субъекта его персональных данных;
12)
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
13)
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.5. Оператором, организующим и осуществляющим обработку персональных данных ООО «УСЛ», является юридическое лицо – Общество с ограниченной ответственностью «УСЛ».
1.6. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия, получении образования и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
1.7. Категории персональных данных – непосредственно персональные данные.
1.8. Категории субъектов, персональные данные которых обрабатываются – состоящие в отношениях с ООО «УСЛ».
1.9. Перечень действий с персональными данными – смешанная (автоматизированная и неавтоматизированная) обработка персональных данных с передачей полученной в ходе обработки персональных данных информации по внутренней сети предприятия с доступом к информации строго определенного круга сотрудников.
1.10. Дата начала обработки персональных данных – момент заключения трудового договора. Срок или условие прекращения обработки персональных данных – прекращение трудового договора.
1.11. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, применяются с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687.
2. Состав персональных данных
2.1. Персональные данные субъекта ООО «УСЛ» - это информация, необходимая компании в связи с деловыми отношениями и касающаяся конкретного субъекта; сведения, которые могут охарактеризовать человека; информация, необходимая для заключения трудового договора, заполнения личной карточки, назначения на другую должность и т.п. информация, содержащаяся в личном деле субъекта, в документах отдела кадров и бухгалтерии.
2.2. Персональными данными субъекта являются: фамилия, имя, отчество субъекта; год, месяц, дата и место его рождения; адрес; семейное положение; социальное, имущественное положение: образование и профессия; доходы; другая информация, относящаяся к определенному или определяемому на основании такой информации субъекта.
2.3. При поступлении субъект предоставляет персональные данные о себе, содержащиеся в следующих документах:
- паспорт;
- трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или субъекта поступает на условиях совместительства;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
- документ об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
- в отдельных случаях с учетом специфики работы действующим законодательством предусматривается необходимость предъявления при заключении трудового договора дополнительных документов в соответствии с требованиями действующего законодательства РФ (медицинское заключение для лиц в возрасте до 18 лет, для лиц, занятых на тяжелых работах и работах с вредными условиями труда, а также на работах, связанных с движением транспорта и т.п.);
- иные документы, представляемые субъектами (справки, резюме и др.).
Данный перечень не является исчерпывающим. В зависимости от конкретной ситуации информация может быть предоставлена субъектами и устно, либо путем заполнения различных анкет, опросных листов.
2.4. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.
2.5. При заключении трудового договора и в ходе трудовой деятельности может возникнуть необходимость в предоставлении субъектом документов:
- о возрасте детей;
- о беременности женщины;
- об инвалидности;
- о донорстве;
- о составе семьи;
- о доходе с предыдущего места работы;
- о необходимости ухода за больным членом семьи;
- прочие.
2.6. После того, как будет принято решение о приеме субъекта, а также впоследствии в процессе деятельности к документам, содержащим персональные данные субъекта, также будут относиться:
- трудовой договор, изменения и соглашения к нему;
- приказ о приеме на работу, приказы о поощрениях и взысканиях;
- приказы об изменении условий трудового договора;
- записки-расчеты на отпуск и увольнение;
- карточка унифицированной формы Т-2, утвержденная Постановлением Госкомстата России от 05.01.04г. №1;
- личные дела и трудовые книжки субъекта;
- штатное расписание;
- картотеки, журналы, базы данных по персоналу, аналитические и справочные материалы, списки сотрудников с указанием их персональных данных;
- табели учета использования рабочего времени и расчета заработной платы;
- документация по начислению заработной платы;
- расчетно-платежные документы по заработной плате (лицевые счета субъекта, расчетно-платежные ведомости, расчетные листки и др.);
- другие документы.
2.7. При приеме с субъектом оформляется согласие на обработку персональных данных (Приложение № 2).
В случае изменения персональных данных субъекта обязан предоставить их в кадровую службу предприятия в течение 5 рабочих дней.
3. Сбор, обработка и защита персональных данных субъекта
3.1. Общие требования при обработке персональных данных субъекта и гарантии их защиты регламентирован статьей 86 Трудового кодекса РФ. Эти требования не подлежат изменению, исключению, так как являются обязательными для сторон трудового отношения.
3.2. В целях обеспечения прав и свобод субъекта компания и его представители при обработке персональных данных субъекта обязаны соблюдать следующие общие требования:
3.2.1. Обработка персональных данных субъекта осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъектов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работодателя, субъекта и третьих лиц;
3.2.2. При определении объема и содержания обрабатываемых персональных данных субъекта, компания руководствуется Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами;
При проведении маркетинговых, социологических и т.п. исследований обработка осуществляется только с согласия в письменной форме субъекта персональных данных (Приложение № 1).
Все персональные данные субъекта компания получает лично у него самого.
Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом не менее, чем за три рабочих дня и от него должно быть получено письменное согласие (либо письменный отказ), которое субъект должен дать в течение пяти рабочих дней с момента получения от компании соответствующего уведомления.
Компания должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение (Приложения № 3, 4).
3.2.3. Компания не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.2.4. Компания не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ, компания вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия;
3.2.5. При принятии решений, затрагивающих интересы субъекта, компания не имеет права основываться на персональных данных субъекта, полученных электронно или в результате их автоматизированной обработки.
3.3. Согласия субъекта персональных данных не требуется в следующих случаях:
- для указания персональных данных субъекта в доверенностях, приказах, расчетно-платежных ведомостях и других рабочих документах;
- при передаче индивидуальных сведений застрахованных субъектов в Управление пенсионного фонда, медицинские страховые компании, налоговые органы и т.п.;
- при обработке персональных данных субъекта для статистических целей при условии, что используемые данные обезличены;
- в случаях, предусмотренных действующим законодательством.
3.4. Лица, получающие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.
3.5. Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена работодателем за счет средств в порядке, установленном Трудовым кодексом РФ, иными федеральными законами.
3.6. Обладатель информации, оператор информационной системы – компания обязан обеспечить:
3.6.1. Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации.
3.6.2. Своевременное обнаружение фактов несанкционированного доступа к информации.
3.6.3. Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации.
3.6.4. Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование или осуществляется несанкционированный доступ к информации лицами, не имеющими права доступа к ней.
3.6.5. Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к информации.
3.6.6. Постоянный контроль за обеспечением уровня защищенности информации.
3.7. Субъекти и их представители должны быть ознакомлены под роспись с Положением о работе с персональными данными на предприятии и осведомлены об их правах и обязанностях в этой области.
3.8. Субъекти не должны отказываться от своих прав на сохранение и защиту тайны. Если в трудовом договоре будет содержаться норма об отказе субъекта от данного права, то в этой части трудовой договор будет считаться недействительным.
3.9. Компания, субъекти и их представители должны совместно вырабатывать меры защиты персональных данных субъектов.
4. Хранение персональных данных субъекта
4.1. Сведения о субъектах предприятия хранятся на бумажных носителях в помещении отдела кадров. Для этого используются специально оборудованные шкафы и сейфы, которые запираются. Сведения о субъектах располагаются в алфавитном порядке. Помещение отдела кадров опечатывается.
Личные дела уволенных субъектов до момента передачи в архив предприятия, хранятся в отделе кадров.
4.2. Конкретные обязанности по хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек (дубликатов трудовых книжек), иных документов, отражающих персональные данные субъектов, возлагаются на субъектов отдела кадров и закрепляются в трудовых договорах, заключаемых с ними и должностных инструкциях.
4.3. В отношении некоторых документов действующим законодательством РФ могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом.
4.4. Сведения о субъектах организации могут также храниться на электронных носителях, доступ к которым ограничен паролем.
4.5. Компания обеспечивает ограничение доступа к персональным данным субъектов лицам, не уполномоченным законом либо работодателем для получения соответствующих сведений.
4.6. Доступ к персональным данным субъектов без специального разрешения имеют субъекти, занимающие на предприятии следующие должности:
- генеральный директор;
- заместители генерального директора;
- главный бухгалтер;
- субъекти кадровой службы;
- субъекти бухгалтерии, которым персональные данные других субъектов необходимы для выполнения ими трудовых функций;
- начальники служб и отделов – в отношении персональных данных субъектов, числящихся в соответствующих службах и отделах.
4.7. Перечень должностей, указанных в пункте 4.6 не является исчерпывающим. Кадровой службой могут быть подготовлены списки специально уполномоченных лиц в получении персональных данных субъектов и лиц, имеющих доступ к персональным данным субъектов, которые утверждаются директором (Приложения № 5,6).
4.8. При получении сведений, составляющих персональные данные субъекта, указанные лица имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, заданий.
5. Передача персональных данных субъекта
5.1. При передаче персональных данных субъекта компания должен соблюдать следующие требования:
5.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением следующих случаев:
- отсутствия письменного согласия субъекта, когда передача персональных данных субъекта необходима в целях защиты жизни, здоровья или иных жизненно важных интересов субъекта и получение согласия субъекта персональных данных невозможно;
- в случаях, определенных действующим законодательством РФ.
Оценка серьезности, неминуемости и степени угрозы жизни, здоровья или иных жизненно важных интересов субъекта в случаях, указанных в абзаце 2 настоящего пункта определяется оператором самостоятельно.
Отказ в предоставлении персональных данных третьим лицам осуществляется путем направления письменного уведомления об отказе в предоставлении персональных данных (Приложение № 7).
5.1.2. Осуществлять передачу персональных данных субъекта в пределах организации в соответствии с настоящим Положением.
5.1.3. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций.
5.1.4. Передавать персональные данные субъекта представителям субъектов в порядке, установленном ст. 88 Трудового кодекса и настоящим Положением и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
6. Обязанности субъекта и работодателя
6.1. В целях обеспечения достоверности персональных данных субъект обязан:
6.1.1. При приеме на работу предоставить работодателю полные и достоверные данные о себе.
6.1.2. В случае изменения сведений, составляющих персональные данные субъекта, незамедлительно предоставить данную информацию работодателю.
6.2. Компания обязан:
6.2.1. Осуществлять защиту персональных данных субъекта.
6.2.2. Обеспечить хранение первичной учетной документации по учету труда и его оплаты, к которой, в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с субъектами по оплате труда и др.
При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
6.2.3. Заполнение документации, содержащей персональные данные субъекта, осуществлять в соответствии с унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными постановлением Госкомстата России от 05.01.04г. №1.
6.2.4. По письменному заявлению субъекта не позднее трех дней со дня подачи этого заявления, выдавать последнему копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, периоде работы у данного работодателя и другое).
6.2.5. Предоставлять субъекту безвозмездно копии документов, связанных с работой.
6.2.6. Вести учет передачи персональных данных субъекта третьим лицам путем ведения соответствующего журнала, отражающего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления работодателю), дату ответа на запрос, какая именно информация была передана либо отметку об отказе в ее предоставлении (Приложение № 8).
6.2.7. В случае реорганизации или ликвидации предприятия учет и сохранность документов по личному составу, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством (распоряжение Правительства РФ от 21.03.94 г. № 358-р «Об обеспечении сохранности документов по личному составу»).
7. Права субъектов в целях защиты персональных данных
7.1 В целях обеспечения защиты персональных данных, хранящихся у работодателя, субъекти имеют право на:
7.1.1. Полную информацию об их персональных данных и обработке этих данных, в частности субъект имеет право знать, кто и в каких целях использует или использовал его персональные данные;
7.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом;
7.1.3. Определение представителей для защиты своих персональных данных;
7.1.4. Доступ к относящимся к ним медицинским данным;
7.1.5. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего кодекса.
При отказе работодателя исключить или исправить персональные данные субъект имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
7.1.6. Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях и дополнениях;
7.1.7. Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
8. Лица, ответственные за организацию обработки персональных данных в организации
8.1. Лицо, ответственное за организацию обработки персональных данных в ООО «УСЛ» назначается приказом (распоряжением) исполнительного органа организации.
8.2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
8.3. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его субъектами законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения субъектов оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
9. Ответственность за нарушение норм, регулирующих получение,
обработку и защиту персональных данных субъекта
9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
9.2. Неправомерный отказ работодателя исключить или исправить персональные данные субъекта, а также любое иное нарушение прав субъекта на защиту персональных данных влечет возникновение у субъекта права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.
10. Заключительные положения
10.1. Настоящее Положение вступает в силу с момента его утверждения директором ООО «УСЛ».
10.2. Вопросы, вытекающие из обработки персональных данных на предприятие, не урегулированные в рамках настоящего Положения, разрешаются в соответствии с действующим законодательством РФ.
10.3. Настоящее Положение доводится до сведения всех отправивших свои данные через сайт, а значит выразивших согласие на обработку данных.
