ПРИКАЗ

«18» апреля 2018 года № 3

Таганрог

Во исполнение требований п. 5 ч. 1 ст. 6, п. п. 2, 3 ч. 1 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» приказываю:

1. Утвердить Политику общества с ограниченной ответственностью «ФАРСАЛ» (далее – ООО «ФАРСАЛ») (далее – Политика) в отношении обработки персональных данных (Приложение 1).

2. Утвердить Положение общества с ограниченной ответственностью «ФАРСАЛ» (далее – ООО «ФАРСАЛ») (далее – Положение) об обработке и защите персональных данных физических лиц (Приложение 2).

3. При осуществлении деятельности, связанной с обработкой персональных данных граждан, руководствоваться действующим законодательством Российской Федерации в данной области, а также утверждаемой Политикой.

4. Приказ довести до заинтересованных работников ООО «ФАРСАЛ».

5. Контроль за исполнением приказа оставляю за собой.

Директор А.Ю. Лавришко

Приложение 1 к приказу ООО «ФАРСАЛ» от 18.04.2018 № 3 

Политика общества с ограниченной ответственностью «ФАРСАЛ» в отношении обработки персональных данных

1. Общие положения.

 Настоящий документ определяет политику Общества с ограниченной ответственностью «ФАРСАЛ» (далее – ООО «ФАРСАЛ», Общество, Оператор) в отношении обработки персональных данных (далее – Политика.

ООО «ФАРСАЛ», являясь Оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами.

Настоящий документ является общедоступным и подлежит размещению на официальном сайте ООО «ФАРСАЛ».

Иные нормативные акты и другие документы, регламентирующие обработку персональных данных в ООО «ФАРСАЛ», разрабатываются с учетом положений Политики.

2. Основные понятия, используемые в Политике.

В настоящей Политике используются понятия, содержащиеся в  статье 3 ФЗ «О персональных данных», с изъятиями, характерными для осуществления деятельности ООО «ФАРСАЛ»:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ «О персональных данных»;

оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Права и обязанности Оператора по обработке персональных данных.

3.1. Оператор обязан соблюдать требования и ограничения, предусмотренные статьями 6, 10. 10.1, 12, 14, 18, 18.1 ФЗ «О персональных данных», а также осуществлять деятельность по обработке персональных данных, в частности:

- обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;

- рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);

- предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым в ООО «ФАРСАЛ»;

- принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;

- организовывать оперативное и архивное хранение документов ООО «ФАРСАЛ», содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.

3.2. Оператор персональных данных вправе: получать документы, содержащие персональные данные; требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных; отстаивать свои интересы в судебном порядке; предоставлять персональные данные субъектов по мотивированным, законным и обоснованным запросам уполномоченных государственных и муниципальных органов, при осуществлении ими своих должностных полномочий; отказывать в предоставлении персональных данных в случаях, предусмотренных ч. 4 ст. 18 ФЗ «О персональных данных».

4. Права и обязанности Субъекта персональных данных.

4.1. Субъекты, персональные данные которых обрабатываются в ООО «ФАРСАЛ», имеют право:

- на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ;

- на получение информации, касающейся обработки своих персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных ООО «ФАРСАЛ»

правовые основания и цели обработки персональных данных; цели и применяемые ООО «ФАРСАЛ» способы обработки персональных данных;

наименование и место нахождения центра обработки данных, сведения о лицах (за исключением работников ООО «ФАРСАЛ»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «ФАРСАЛ» или на основании федерального закона (при наличии таковых);

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;

информацию об отсутствии (наличии) трансграничной передачи данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «ФАРСАЛ», если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные законодательством Российской Федерации;

- требовать от ООО «ФАРСАЛ» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- обжаловать действия или бездействие ООО «ФАРСАЛ» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъекты, персональные данные которых обрабатываются в ООО «ФАРСАЛ», обязаны:

- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами ТПП России в объеме, необходимом для цели обработки;

- сообщать в ООО «ФАРСАЛ» об уточнении (обновлении, изменении) своих персональных данных.

5. Цели сбора персональных данных.

Обработка ООО «ФАРСАЛ» персональных данных осуществляется в следующих целях:

- обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- содействия кандидатам в трудоустройстве, работникам в получении образования и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- ведения кадрового делопроизводства и личных дел работников;

- предоставления работникам отпусков и направления их в командировки;

- организации и оформления награждений и поощрений работников;

- оформления заграничных паспортов и виз, а также медицинских страховок для выезжающих за рубеж;

- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;

- предоставления работникам и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

- выполнения задач и функций ООО «ФАРСАЛ» в рамках осуществления видов деятельности, предусмотренных федеральными и региональными нормативно-правовыми актами, и иными локальными нормативными актами ООО «ФАРСАЛ», регламентирующими деятельность Общества;

- ведения реестров ООО «ФАРСАЛ», предусмотренных законодательством Российской Федерации, Уставом ООО «ФАРСАЛ» и иными локальными нормативными актами ООО «ФАРСАЛ»;

- заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

- регистрации участников мероприятий ООО «ФАРСАЛ» и органов государственной власти;

- рассылки информационных и иных материалов по направлениям деятельности ООО «ФАРСАЛ»;

- подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;

- формирования справочных материалов для внутреннего информационного обеспечения деятельности ООО «ФАРСАЛ»;

- обеспечения пропускного режима в здания ООО «ФАРСАЛ».

6. Правовые основания обработки персональных данных.

Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми ТПП России осуществляет обработку персональных данных, в том числе:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 1 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;

- Федеральный закон «Об основах государственного регулирования внешнеторговой деятельности» от 08.12.2003 № 164-ФЗ;

- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

- постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

- устав ООО «ФАРСАЛ» и иные локальные нормативные акты ООО «ФАРСАЛ», связанные с осуществлением деятельности по обработке персональных данных;

- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;

- согласие субъектов на обработку их персональных данных.

7. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

В зависимости от целей, предусмотренных настоящей Политикой, в ООО «ФАРСАЛ» могут обрабатываться персональные данные следующих категорий субъектов:

1. Соискатели на должности в ООО «ФАРСАЛ»:

- фамилия, имя, отчество;

- год и место рождения;

- контактные данные;

- сведения о профессии и иные персональные данные, сообщаемые соискателем в резюме и сопроводительных письмах.

2. Работники и бывшие работники ООО «ФАРСАЛ», члены их семей:

- фамилия, имя, отчество;

- пол;

- возраст;

- изображение (фотография);

- паспортные данные;

- адрес регистрации и фактического проживания;

- индивидуальный номер налогоплательщика;

- страховой номер индивидуального лицевого счета (СНИЛС);

- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

- семейное положение, наличие детей, родственные связи;

- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и/или дисциплинарных взысканий;

- данные о регистрации брака;

- сведения о воинском учете;

- сведения об инвалидности;

- сведения об удержании алиментов;

- сведения о доходе с предыдущего места работы;

- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3. Лица, входящие в органы управления, а также в органы управления организаций, при создании таковых с участием ООО «ФАРСАЛ»:

- фамилия, имя, отчество;

- сведения о трудовой деятельности;

- образование;

- индивидуальный номер налогоплательщика;

- адрес проживания;

- фотография;

- номер телефона;

- адрес электронной почты.

4. Лица, привлекаемые к выполнению работ по гражданско-правовым договорам:

- фамилия, имя, отчество;

- паспортные данные;

- страховой номер индивидуального лицевого счета (СНИЛС);

- индивидуальный номер налогоплательщика (при наличии).

5. Лица, включаемые в перечень рассылки информационных и иных материалов, по направлениям деятельности ООО «ФАРСАЛ»:

- фамилия, имя, отчество;

- дата рождения;

- паспортные данные;

- адрес регистрации по месту жительства;

- должность;

- адрес электронной почты;

- сведения о месте работы;

- контактный номер телефона.

ООО «ФАРСАЛ» может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться:

- фамилия, имя, отчество;

- должность;

- наименование подразделения;

- адрес электронной почты;

- контактный номер телефона;

- иные персональные данные, сообщаемые субъектом персональных данных для указанных целей.

Обработка в ООО «ФАРСАЛ» биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

В ООО «ФАРСАЛ» не осуществляется обработка персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.

8. Порядок и условия обработки персональных данных.

Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

К обработке персональных данных допускаются только те работники ООО «ФАРСАЛ», в должностные обязанности которых входит обработка персональных данных.

Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

Обработка персональных данных осуществляется путем:

- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

- предоставления субъектами персональных данных оригиналов необходимых документов;

- получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;

- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;

- получения персональных данных из общедоступных источников;

- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

- внесения персональных данных в информационные системы ООО «ФАРСАЛ» и последующих систематизации, накоплении, уточнении, уничтожении, блокировании;

- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой ООО «ФАРСАЛ» деятельности.

Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

При передаче персональных данных третьим лицам в соответствии с заключенными договорами ООО «ФАРСАЛ» обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов ООО «ФАРСАЛ» в области персональных данных.

Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.

Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами «Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (Заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108) (далее – Конвенция), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999), а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с ФЗ «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

ООО «ФАРСАЛ» вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению ООО «ФАРСАЛ», обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.

В случае, когда ООО «ФАРСАЛ» на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.

Хранение персональных данных в ООО «ФАРСАЛ» осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между ООО «ФАРСАЛ» и субъектом персональных данных;

- ООО «ФАРСАЛ» не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами.

Сроки хранения персональных данных в ООО «ФАРСАЛ» определяются в соответствии с законодательством Российской Федерации в соответствии с положениями Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и нормативными актами ООО «ФАРСАЛ» в области документооборота.

9.1. Сведения, указанные в части 7 статьи 14 ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями ФЗ «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с ООО «ФАРСАЛ» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ООО «ФАРСАЛ», подпись (в том числе электронная) субъекта персональных данных или его представителя.

Сведения, указанные в части 7 статьи 14 ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 ФЗ «О персональных данных» в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9.2. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ООО «ФАРСАЛ» вносит в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО «ФАРСАЛ» уничтожает такие персональные данные.

ООО «ФАРСАЛ» уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

ООО «ФАРСАЛ» обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

Формы запросов (обращений) субъектов персональных данных и их представителей приведены в приложениях 1-4 к настоящей Политике.

9.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных ООО «ФАРСАЛ» прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если ООО «ФАРСАЛ» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.

В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока ООО «ФАРСАЛ» осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных ООО «ФАРСАЛ» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 ФЗ «О персональных данных».

10. Требования к защите персональных данных, реализуемые ООО «ФАРСАЛ».

Обеспечение безопасности персональных данных при их обработке в ООО «ФАРСАЛ» осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

ООО «ФАРСАЛ» предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

Меры защиты, реализуемые ООО «ФАРСАЛ» при обработке персональных данных, включают:

- принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

- назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах ООО «ФАРСАЛ»;

- организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в ООО «ФАРСАЛ»;

- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;

- организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;

- хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;

- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;

- установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и информационно-телекоммуникационной сети «Интернет» без применения установленных в ООО «ФАРСАЛ» мер по обеспечению безопасности персональных данных;

- обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;

- осуществление внутреннего контроля за соблюдением в ООО «ФАРСАЛ» законодательства Российской Федерации и локальных нормативных актов ООО «ФАРСАЛ» при обработке персональных данных.

Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «ФАРСАЛ» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

11. Трансграничная передача персональных данных.

11.1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с законодательством РФ и может быть запрещена или ограничена уполномоченным органом по защите прав субъектов персональных данных в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

11.2. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

11.3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

- предусмотренных международными договорами Российской Федерации;

- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

- исполнения договора, стороной которого является субъект персональных данных;

- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

12. Контроль, ответственность за нарушение или неисполнение положения.

12.1. Контроль за исполнением Политики возложен на руководителя ООО «ФАРСАЛ».

12.2. Работники ООО «ФАРСАЛ», при закреплении за ними обязанностей по обработке персональных данных незамедлительно доводят до сведения руководителя ООО «ФАРСАЛ» информацию о предполагаемых нарушениях нормативно-правовых актов, регламентирующих деятельность по обработке персональных данных.

12.3. Ответственные за обработку персональных данных лица несут персональную ответственность за нарушение требований законодательства Российской Федерации в указанной сфере, предусмотренную КоАП РФ, УК РФ.

Приложение 2 к приказу

ООО «ФАРСАЛ»

от 18.04.2018 № 3

Положение общества с ограниченной ответственностью «ФАРСАЛ» об обработке и защите персональных данных работников, иных физических лиц

1. Общие положения.

1.1. Настоящее Положение по обработке персональных данных (далее - Положение) общества с ограниченной ответственностью «ФАРСАЛ» (далее – ООО «ФАРСАЛ», Общество, Организация, Работодатель) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка Организации.

1.2. Цель разработки Положения - определение порядка обработки персональных данных работников Организации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Организации, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Порядок ввода в действие и изменения Положения.

1.3.1. Настоящее Положение вступает в силу с момента издания приказа Организации о его утверждении и действует бессрочно, до замены его новым Положением.

1.3.2. Изменения, вносимые в Положение, осуществляются путем издания соответствующего приказа Организации.

1.4. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.

1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.

2. Основные понятия и состав персональных данных работников.

2.1. Для целей настоящего Положения используются следующие основные понятия:

- персональные данные работника - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Организации;

- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;

- распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

- информация - сведения (сообщения, данные) независимо от формы их представления.

- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. В состав персональных данных работников Организации входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.

2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.

2.3.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;

- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

- свидетельство о присвоении ИНН (при его наличии у работника).

2.3.2. При оформлении соискателя на должность в Организацию работником отдела кадров, а при отсутствии отдела кадров – работником, осуществляющим функции по оформлению трудовых отношений, заполняются в локальной / облачной компьютерной сети и компьютерной программе «1С: Бухгалтерия предприятия». следующие анкетные и биографические данные работника:

- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

- сведения о воинском учете;

- данные о приеме на работу;

- сведения о месте жительства и контактных телефонах.

2.3.3. В отделе кадров (работником, осуществляющим функции по процессу оформления трудовых отношений) Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

2.3.3.1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

2.3.3.2. Документация по планированию, учету, анализу и отчетности в части работы с персоналом Организации.

3. Сбор, обработка и защита персональных данных.

3.1. Порядок получения персональных данных.

3.1.1. Все персональные данные работника Организации следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника Организации о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

- персональные данные являются общедоступными;

- персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3.1.3. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.1.4. Письменное согласие работника на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

3.1.5. Согласие работника на обработку персональных данных не требуется в следующих случаях, если:

- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

- обработка персональных данных осуществляется в целях исполнения трудового договора;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.2. Порядок обработки, передачи и хранения персональных данных.

3.2.1. Работник Организации предоставляет работнику отдела кадров Организации, а при отсутствии отдела кадров – работником, осуществляющим функции по оформлению трудовых отношений, достоверные сведения о себе. Работник отдела кадров Организации, а при отсутствии отдела кадров – работник, осуществляющий функции по оформлению трудовых отношений проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.2.2. В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина директор Организации (Работодатель) и (или) его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

3.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2.2. При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

3.2.2.3. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2.2.4. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.

3.2.2.5. Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.2.2.6. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

4. Передача и хранение персональных данных.

4.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

4.1.4. Осуществлять передачу персональных данных работников в пределах Организации в соответствии с настоящим Положением.

4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.

4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.

4.2. Хранение и использование персональных данных работников:

4.2.1. Персональные данные работников обрабатываются и хранятся в отделе кадров,  а при отсутствии отдела кадров – ответственным лицом, допущенным к обработке персональных данных в ООО «Фарсал» и осуществляющим функции по оформлению трудовых отношений.

4.2.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной / облачной компьютерной сети и компьютерной программе «1С: Бухгалтерия предприятия».

4.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) Работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные настоящим Федеральным законом права субъекта персональных данных.

5. Доступ к персональным данным работников.

5.1. Право доступа к персональным данным работников имеют:

- директор Организации;

- сотрудники отдела кадров;

- сотрудники бухгалтерии;

- иное ответственное лицо, допущенное к обработке персональных данных в ООО «Фарсал»

5.2. Работник Организации имеет право:

5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника.

5.2.2. Требовать от Работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных.

5.2.3. Получать от Работодателя:

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.3. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных.

5.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.

5.4. Передача информации третьей стороне возможна только при письменном согласии работников.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2. Директор Организации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.

ПРИКАЗ

«18» апреля 2018 года № 4 Таганрог

В целях обеспечения защиты персональных данных работников Общества с ограниченной ответственностью «ФАРСАЛ», контрагентов указанного Общества, в том числе при обработке в информационной системе персональных данных, в соответствии с требованиями п. 1 ч. 1 ст. 18.1 ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» приказываю:

1. Назначить себя, директора Общества с ограниченной ответственностью «ФАРСАЛ» (далее – ООО «ФАРСАЛ») Лавришко Алексея Юрьевича ответственным за организацию обработки персональных данных, обрабатываемых в ООО «ФАРСАЛ», в связи с осуществлением им организационной и финансово-хозяйственной деятельности при реализации своих уставных задач (далее - ответственный за организацию обработки персональных данных).

2. Ответственному Лавришко Алексею Юрьевичу обеспечить:

2.1. организацию мероприятий по обработке персональных данных в соответствии с требованиями законодательства РФ;

2.2. осуществление внутреннего контроля за соблюдением ООО «ФАРСАЛ» и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2.3. доведение до сведения работников ООО «ФАРСАЛ» положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных;

2.4. организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.

3. Ответственный за организацию обработки персональных данных осуществляет указанную деятельность в соответствии с требованиями федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

4. Ответственному за организацию обработки персональных данных в своей деятельности руководствоваться требованиями федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Политики ООО «ФАРСАЛ» в отношении обработки персональных данных, Положения о защите, хранении, обработке и передаче персональных данных в ООО «ФАРСАЛ», а также должностной инструкцией, определяющей обязанности и права ответственного должностного лица.

5. В периоды временного отсутствия ответственного за организацию обработки персональных данных его обязанности возложить на лицо, исполняющее его должностные обязанности.

6. Контроль за исполнением приказа оставляю за собой.

Директор А.Ю. Лавришко