Положение об обработке персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Целью настоящего Положения является защита персональных данных соискателей, работников, клиентов и контрагентов ООО «Аривист» (далее — «Компания») а также посетителей сайта Компании по адресу https://www.arivist.ru (далее — Сайт Компании), от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 №149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлениями Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных», осуществляемых на территории Российской Федерации, иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.
Правовым основанием обработки персональных данных также являются: Устав компании, договоры, заключаемые между Компанией и работниками, клиентами, контрагентами и посетителями сайта Компании; согласие субъектов персональных данных на обработку их персональных данных.
1.3. В настоящем Положении используются следующие термины и определения:
Пользователь — физическое лицо, являющееся соискателем, работником, клиентом либо контрагентом Компании, которое предоставляет Компании свои персональные данные в связи с заключением либо исполнением гражданско-правового, либо трудового договора.
Персональные данные — информация о Пользователе, необходимая Компании для заключения договора и выполнения своих обязательств договорам, защиты прав и законных интересов Компании (минимизация рисков Компании, связанных с нарушением обязательств по договорам).
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.
Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
Распространение персональных данных — действия направленные на передачу персональных данных или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение и информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Блокирование персональных данных — временное прекращение сбора, систем автоматизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Соискатель — претендент на замещение вакантных должностей в Компании в рамках правоотношений, урегулированных Трудовым кодексом Российской Федерации.
Клиент (субъект персональных данных) — физическое лицо, потребитель услуг Компании.
Контрагент (субъект персональных данных) — физическое лицо, представитель юридического лица и индивидуального предпринимателя (физическое лицо), вступившие в договорные отношения с Компанией.
Посетитель Сайта Компании — физическое лицо, оставившее заявку на Сайте Компании.
Компания — в рамках настоящего Положения Компанией признается Общество с ограниченной ответственностью «Аривист».
1.4. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных, если иное не определено законодательством Российской Федерации.
1.5. Действия настоящего Положения распространяются на всех Соискателей, Работников, Клиентов, Контрагентов Компании, Посетителей Сайта Компании.
1.6. Настоящее положение содержит сведения, подлежащие раскрытию в соответствии с ч.1 ст.14 ФЗ «О персонального данных», и является общедоступным документом.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. ОБЩИЕ ТРЕБОВАНИЯ ПРИ РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
2.1.1. Компания может обрабатывать следующие персональные данные Пользователя:
- фамилия, имя, отчество;
- паспортные данные;
- адрес регистрации места жительства;
- идентификационный номер налогоплательщика;
- номер телефона;
- адрес электронной почты;
- копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
- анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе - сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев);
- иные документы, которые с учетом специфики работы и в соответствии с законодательством РФ должны быть предъявлены работником при заключении трудового договора или в период его действия (например, медицинские заключения, предъявляемые работником при прохождении обязательных предварительных и периодических медицинских осмотров);
- трудовой договор, трудовая книжка;
- копии приказов о приеме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях;
- личная карточка по форме Т-2;
- заявления, объяснительные и служебные записки работника;
- документы о прохождении работником аттестации, собеседования, повышения квалификации;
2.1.2 Цель обработки персональных данных Пользователя — заключение, исполнение и прекращение гражданско-правовых и трудовых договоров; предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://www.arivist.ru/
В целях обеспечения прав и свобод человека и гражданина Компания и (или) её представители при обработке персональных данных должны соблюдать следующие общие требования:
2.1.3 Обработка персонального данных должна осуществляться на законной и справедливой основе, исключительно в целях обеспечения соблюдения законов и иных нормативных актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ;
2.1.4. Компания обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные носители информации. Компания может принимать и учреждать специальные локальные нормативные акты (инструкции, положения и т.д.), конкретизирующие порядок действий при работе с персональными данными.
2.1.5. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка данных, несовместимая с целями сбора персональных данных.
2.1.6. Получение Компанией персональных данных может осуществляться как путём предоставления их самим субъектом персональных данных, так и путём получения их из иных источников.
2.1.7. Персональные данные получаются Компанией непосредственно у субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Компания должна сообщить субъекту персональных данных о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
2.1.8. Компания не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Компанией только с его письменного согласия.
2.1.9. Компания не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2.1.10. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданина, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной, партийной принадлежности запрещено законодательством Российской Федерации.
2.1.11. При принятии решений, затрагивающих интересы субъекта персональных данных, Компания не имеет права основываться на персональных данных клиента или контрагента, полученных исключительно в результате их обработки без его письменного согласия на такие действия.
2.1.12 Компания защищает персональные данные субъектов за счет собственного средств, в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами.
2.2. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
2.2.1 Доступ к персональным данным сотрудников Компании, не требующий подтверждения и не подлежащий ограничению, имеют:
- сотрудники, непосредственно работающие с персональными данными в рамках договорных отношений и их руководители;
- генеральный директор Компании, а также сотрудники его секретариата;
- сотрудники отдела кадров Компании;
- сотрудники бухгалтерии Компании;
- сотрудники отдела экономической безопасности,
2.2.2 Доступ к персональным данным сотрудников Компании для иных лиц может быть разрешен только отдельным распоряжением руководителя Компании.
2.3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ СОИСКАТЕЛЕЙ
2.3.1. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, допустима только после получения согласия на обработку персональных данных соискателя на период принятия работодателем решения о приёме либо отказе в приёме на работу.
Исключение:
- если от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор;
- если соискатель самостоятельно разместил свое резюме в сети Интернет, и оно доступно неограниченному кругу лиц.
2.3.2. В случае если резюме соискателя получено по каналам электронной почты, факсимильной связи Компании - необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. В качестве таких мероприятий, Компания может пригласить на личную встречу с уполномоченными сотрудниками, либо использовать обратную связь посредством электронной почты или телефонного разговора.
2.3.3. При поступлении в адрес Компании резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
2.3.4. В случае отказа в приёме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней.
2.3.5. В случае, если Компания получает сведения о соискателе посредством запросов (телефонных или письменных) в иные организации, Компания обязана получить письменное согласие от соискателя на это действие, если иное не предусмотрено законодательством Российской Федерации.
2.3.6. В случае, если Компания ведёт кадровый резерв, согласие на внесение соискателя в такой резерв оформляется либо в форме отдельного документа, либо путём проставления соискателем отметки в соответствующем поле согласия, разработанного Компанией-Работодателем.
2.4.ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
2.4.1. Компания обрабатывает персональные данные работников в рамках правоотношений, урегулированных Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ (далее ТК РФ), в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников.
2.4.2 Компания обрабатывает персональные данные работников с целью выполнения трудовых договоров, соблюдения норм законодательства РФ, и иными законными целями, в том числе:
- ведение кадрового учета;
- ведение бухгалтерского учета;
- осуществление функций, полномочий и обязанностей, возложенных законодательством РФ на Компанию, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд РФ, в Фонд социального страхования РФ, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- соблюдение норм и требований по охране труда и обеспечению личной безопасности работников Компании, сохранности имущества;
- предоставление льгот и компенсаций, предусмотренные законодательством РФ;
- открытие личных банковских счетов работников Компании для перечисления заработной платы;
- страхование по программам добровольного медицинского страхования;
- перечисление страховых взносов в негосударственные пенсионные фонды;
- обеспечение деятельности Компании: организация рекламной деятельности, проведение обучения персонала; деятельность, стимулирующая развитие профессиональных качеств работников при выполнении должностных обязанностей. (К примеру, подготовка визитных карточек для персонала; организация поздравлений работников по результатам достижения определенных результатов в работе; опубликование поздравительных объявлений в офисе Компании, опубликование фотографий работников Компании на официальном сайте Компании и иных источниках информационного характера).
2.4.3 Компания знакомит работников и их представителей под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
2.4.4. Компания обрабатывает персональные данные работников в течение срока действия трудового договора. Компания обрабатывает персональные данные уволенных работников в течение срока, установленного п.5 ч.3 ст.24 части первой Налогового Кодекса Российской Федерации от 31.07.1998 №146-ФЗ, ч.1 ст.29 ФЗ «О бухгалтерском учете» от 06.12.2011 №402-ФЗ и иными нормативными правовыми актами.
2.4.5. Компания может обрабатывать специальные категории персональных данных работников (сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения ими трудовых функций) на основании п.2.3 ч.2 ст.10 ФЗ «О персонального данных».
2.4.6. Компания обрабатывает персональные данные работников, перечисленные в п.1.3 настоящего положения.
2.4.7. В порядке, установленном законодательством, и в соответствии со ст.7 ФЗ «О персональных данных» для достижения целей обработки персональных данных Компания предоставляет персональные данные работников или поручает их обработку следующим лицам:
- государственные органы и внебюджетные фонды (ПФР, ФСС);
- банк (в рамках зарплатного проекта) с согласия работников;
- компании пассажирских перевозок, туристические агентства и гостиницы в рамках организации командировок) с согласия работников;
- страховые организации (при оформлении полисов добровольного медицинского страхования, оформление медицинских страховок для выезда в иностранные государства) с согласия работников.
2.4.8. Работник может получить свободный бесплатный доступ к информации о его персональных данных и об обработке этих данных. Работник может получить копию любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.
2.4.9. Работник может требовать исключить или исправить свои неверные или неполные персональные данные, а также данные, обработанные с нарушением требований ТК РФ, ФЗ «О персональных данных» или иного федерального закона. При отказе Компании исключить или исправить персональные данные работника он может заявить в письменной форме о своем несогласии и обосновать такое несогласие. Работник может дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения.
2.4.10. Работник может требовать известить всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
2.4.11 Работник может обжаловать в суд любые неправомерные действия или бездействие Компании при обработке и защите его персональных данных.
2.5 ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ И КОНТРАГЕНТОВ
2.5.1. Компания обрабатывает персональные данные клиентов и контрагентов в рамках правоотношений с Компанией, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. №14 ФЗ.
2.5.2. Компания обрабатывает персональные данные клиентов и контрагентов в целях соблюдения норм законодательства РФ, в том числе:
- заключать и выполнять обязательства по договорам с клиентами и контрагентами;
- осуществлять виды деятельности, предусмотренные учредительными документами.
2.5.3. Компания обрабатывает персональные данные клиентов и контрагентов в течение сроков действия, заключённых с ними договоров. Компания может обрабатывать персональные данные клиентов после окончания сроков действия заключённых с ними договоров в течение срока, установленного п.5 ч.3 ст.24 части первой НК РФ, ч.1 ст.29 ФЗ «О бухгалтерском учёте» и иными нормативными актами.
2.5.4. Компания обрабатывает персональные данные клиентов и контрагентов, перечисленные в п.2.1.1 настоящего положения.
2.6 ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОСЕТИТЕЛЕЙ САЙТА КОМПАНИИ
2.6.1. Обработка персональных данных посетителей Сайта Компании, допустима только после получения согласия на обработку персональных данных посетителя Сайта Компании.
2.6.2. Компания обрабатывает персональные данные посетителей Сайта Компании в целях:
- осуществление связи с посетителем сайта и направления ему уведомлений, запросов и информации, относящейся к работе Сайта и Сервисов, выполнения соглашений с посетителем сайта и обработки его запросов и заявок;
- периодического предоставления информации об услугах и деятельности Компании.
2.6.3. Компания обрабатывает персональные данные посетителей Сайта Компании, перечисленные в п.2.1.1 настоящего положения.
2.7 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
2.7.1. При передаче персональных данных Компания должна соблюдать следующие требования:
- не сообщать персональные данные третьей стороне без письменного согласия субъекта персонального данных за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством Российской Федерации;
- не сообщать персональные данные в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном законодательством Российской Федерации;
- разрешать доступ к персональным данным только специально уполномоченным лицам, определённым приказом Генерального директора Компании, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы на выполнение конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
2.7.2. Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 №152 ФЗ «О персонального данных». В поручении Компании (договоре) должны быть определены перечень действии (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 Федерльного закона от 27.07.2006 №152 ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Компании, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт Компания. Лицо, осуществляющее обработку персональных данных по поручению (договору) Компании несёт ответственность перед Компанией.
2.8 ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.8.1. Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.8.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- предусмотренных международными договорами Российской Федерации;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных.
2.9. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.9.1. Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование. Компания может регламентировать порядок хранения персональных данных соответствующими инструкциями. Ответственный обязан ознакомить с данными инструкциями лиц, допущенных к обработке персональных данных, путём подписания Листа ознакомления.
2.9.2. Период хранения и обработки персональных данных определяется в соответствии с законодательством Российской Федерации. Обработка персональных данных с использованием средств автоматизации начинается с момента поступления персональных данных в информационные системы персональных данных, а обработка персональных данных без использования средств автоматизации начинается с момента получения данных от субъекта персональных данных и прекращается:
- окончанием срока хранения на основании законодательства Российской Федерации;
- в случае выявления неправомерных действии с персональными данными в срок не превышающий трёх рабочих дней с момента выявления, Компания устраняет такие нарушения. В случае невозможности устранения допущенных нарушении, Компания в срок, не превышающим трёх рабочих дней с момента выявления неправомерности действии с персональными данными, уничтожает персональные данные, об устранении допущенных нарушении или об уничтожении персональных данных Компания уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, Компания уведомляет также указанный орган;
- в случае достижения цели обработки персональных данных Компания незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трёх рабочих дней с даты достижения цели обработки персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных согласия на обработку персональных данных Компания прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающим трёх рабочих дней с момента поступления указанного отзыва. Об уничтожении персональных данных Компания уведомляет субъекта персональных данных.
- в случае ликвидации Компании.
3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Защита персональных данных от неправомерного их использования или утраты обеспечивается Компанией в порядке, установленном законодательством РФ.
3.1.1. Субъекты персональных данных до предоставления своих персональных данных должны иметь возможность ознакомиться с настоящим Положением.
3.1.2. Защите подлежит:
- информация о персональных данных субъекта;
- документы, содержащие персональные данные субъекта;
- персональные данные, содержащиеся на электронных носителях.
3.1.3. Компания назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренного ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
3.1.4. Компания издаёт документы, определяющие политику Компании в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
3.1.5. Компания принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персонального данных в соответствии со статьёй 19 Федерального закона от 27.07.2006 года №152 ФЗ «О персональных данных», в том числе:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровня защищённости персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информативной системы персональных данных;
- учёт машинных и съёмных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
3.1.6. Компания осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 года №152Ф3 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, иным локальным актом и распоряжениям Компании.
3.1.7. Компания осуществляет оценку вреда, который может быть причинён субъектам персональных данных в случае нарушения российского законодательства, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ.
3.1.8. Компания знакомит своих работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучает указанных работников.
3.1.9. Ответственные лица соответствующих подразделении, хранящих персональные данные на бумажных носителях и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копированию согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённому Постановлением РФ 15 сентября 2008 г. №687.
3.1.10. Ответственные лица структурных подразделений, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными, нормативно методическими документами.
3.1.11. По возможности персональные данные должны быть обезличены.
3.1.12. Компания производит определение угроз безопасности персональных данных при их обработке в информационной системе Компании.
3.1.13. Порядок уничтожения персональных данных.
Ответственным за уничтожение персональных данных является уполномоченное лицо, назначаемое генеральным директором.
При наступлении любого из событий, повлекших, согласно законодательству РФ, необходимость уничтожения персональных данных, уполномоченное лицо обязано:
- определить технические (материальные, программные и иные) средства, посредством которых будет произведено уничтожение персональных данных;
- произвести уничтожение документов и засвидетельствовать данное действие;
- оформить соответствующий Акт об уничтожении персональных данных (и/или материальных носителей персональных данных);
- в случае необходимости уведомить об уничтожении персональных данных субъекта данных и/или уполномоченный орган.
4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъект персональных данных имеет право:
- на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
- на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно подученными или не являются необходимыми для заявленной цели обработки;
- на отзыв данного согласия на обработку персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
- на обжалование действий или бездействия Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Компании либо направить запрос лично или с помощью представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компании, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4.3. При обращении субъекта персонального данных или при получении его запроса Ответственное лицо обеспечивает предоставление субъекту персональных данных и информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с момента обращения с запросом.
4.4. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Компанией, являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменении в персональные данные в течение 7 рабочих дней с момента обращения с запросом.
4.5. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Компанией, являются незаконно подученными или не являются необходимыми для заявленной цели обработки, Ответственным обеспечивает уничтожение таких персональных данных в течение 7 рабочих дней с момента обращения.
4.6. Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
4.7. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Федеральном законе «О персональных данных» от 27.07.2006 №152-ФЗ.
5. ОТВЕТСТВЕННОСТЬ 3А РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Компания вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
5.2.Должностные лица, в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечёт наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
5.3. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую коммерческую тайну, обязаны возместить причинённые убытки.
6. ВЗАИМОДЕЙСТВИЕ С РОСКОМНАДЗОРОМ
6.1. По запросу Роскомнадзора Ответственный организует предоставление локальных нормативных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с момента поступления запроса.
6.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путём персональных данных в течение 30 дней с даты получения требования.
6.3. В случаях, предусмотренных ст.22 Федеральным законом №152 «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.
6.4. Ответственный обязан вести журнал по учёту государственных проверок государственными органами.
6.5. В случае необходимости Ответственным направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемых Компанией.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящее положение вступает в силу с момента его утверждения приказом Генерального Директора, а для клиентов и контрагентов с момента размещения на сайте Компании по адресу: https://www.arivist.ru Настоящее положение доводится до сведения всех работников Компании персонально под роспись.