Положение об обработке и защите персональных данных работников ООО «Библио-Глобус Туроператор»

1. ОБЩИЕ ПОЛОЖЕНИЯ
2. Настоящее Положение об обработке и защите персональных данных работников ООО «Библио-Глобус Туроператор» (далее - Положение) устанавливает порядок обработки персональных данных работников Общества с ограниченной ответственностыо «Библио-Глобус Туроператор» (далее - Организация или Оператор).
3. Цель разработки Положения — определение порядка обработки персональных данных работников Оператора, обеспечение защиты прав и свобод работников Организации при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников Организации, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
4. Работниками являются физические лица (субъекты персональных данных), заключившие с Организацией трудовые договора.
5. Обработка персональных данных работников осуществляется исключительно в целях содействия работникам Организации в трудоустройстве, получении образования и продвижении по службе, обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
6. Обработка персональных данных работников Организации заключается в сборе, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа к персональным данным.
7. Настоящее Положение вступает в силу с момента его утверждения генеральным директором и действует бессрочно, до замены его новым Положением.
8. Настоящее Положение подлежит корректировке при изменении законодательных и нормативно-правовых актов, по рекомендациям надзорных органов, по результатам проверок в рамках государственного контроля, а также в целях совершенствования технологий обработки персональных данных работников Организации. Изменения к Положению утверждаются приказом генерального директора.
9. Все работники Организации должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
10. Настоящее Положение является обязательным для исполнения всеми работниками Организации, имеющими доступ к персональным данным.
11. Ответственность за актуализацию настоящего Положения и текущий контроль над выполнением норм Положения возлагается на руководителя службы по работе с персоналом Организации.

И. Организация учитывает требования настоящего Положения при разработке и утверждении внутренних локальных актов и иных документов Организации, связанных с обработкой персональных данных.

1. ОСНОВНЫЕ ПОНЯТИЯ

Положение - утвержденный приказом генерального директора внутренний локальный нормативный акт «Положение об обработке и защите персональных данных работников ООО «Библио-Глобус Туроператор».

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Работник - физическое лицо (субъект персональных данных), заключившее с Организацией трудовой договор.

Соискатель (кандидат) на должность - физическое лицо (субъект персональных данных), представившее в Организацию свои персональные данные с предложением заключения трудового договора.

Персональные данные (ПДн) - сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу, которые могут быть предоставлены другим лицам

Персональные данные работника (ПДн работника) - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, необходимая работодателю в связи с трудовыми отношениями.

Обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Организации.

Конфиденциальность персональных данных - обязательное для соблюдения работниками, получившими доступ к персональным данным, требование не допускать распространение ПДн без согласия субъекта персональных данных или иного законного основания.

Распространение персональных данных - действия, направленные на передачу персональных данных субъекта персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работника в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным субъекта персональных данных каким-либо иным способом.

Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении пользователей сайта или работника либо иным образом затрагивающих его права и свободы или права и свободы других лиц.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников и пользователей сайта.

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику или пользователю сайта.

Трансграничная передача персональных данных (ТГПД) — это передача личной информации гражданина на территорию иностранного государства органу власти иностранного государства, иностранному юридическому или физическому лицу.

Общедоступные персональные данные - персональные данные, доступ неограниченного крута лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Информация - любые сведения (сообщения, данные) независимо от формы их представления.

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Уполномоченный сотрудник - работник, назначенный приказом генерального директора Оператора ответственным за обеспечение информационной безопасности и защиту персональных данных.

IIL ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА 1. Персональные данные - любая информация, относящаяся к работнику (субъекту персональных данных) и необходимая Организации в связи с трудовыми отношениями и касающаяся конкретного субъекта персональных данных, а также сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность.

• Персональные данные работника составляют:
  • сведения о фактах, событиях и обстоятельствах частной жизни работника, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, а именно:
• фамилия, имя, отчество работника;
• дата и место рождения работника;
• паспортные данные;
• адрес проживания (регистрации) работника;
• домашний номер телефона, личный мобильный номер телефона;
• семейное, социальное, имущественное, финансовое положение работника;
• образование;
• автобиография;
• сведения о воинском учете;
• сведения о социальных льготах;
• наличие судимостей;
• адрес электронной почты;
• содержание декларации, подаваемой в налоговую инспекцию;
• прочие сведения, которые могут идентифицировать человека.
  • служебные сведения, а также иные сведения, связанные с профессиональной деятельностью работника, в том числе сведения о поощрениях и о дисциплинарных взысканиях:
• анкета;
• сведения о трудовом и общем стаже;
• сведения о предыдущем месте работы;
• сведения о заработной плате сотрудника;
• специальность;
• занимаемая должность;
• содержание трудового договора;
• подлинники и копии приказов по личному составу;
• личные дела и трудовые книжки и (или) сведения о трудовой деятельности;
• основания к приказам по личному составу;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
• копии отчетов, направляемые в органы статистики;
• копии документов об образовании;
• результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
• рекомендации, характеристики и т.п.
• прочие сведения, которые могут идентифицировать человека.
• Указанные в п.2, сведения являются конфиденциальными и не подлежат разглашению иначе как по основаниям, предусмотренным законодательством РФ.
• Документами, содержащими персональные данные работников, являются:
• паспорт или иной документ, удостоверяющий личность;
• трудовая книжка и (или) сведения о трудовой деятельности;
• документ, подтверждающий регистрацию в системе индивидуального персонифицированного учета;
• свидетельство о присвоении ИНН;
• документы воинского учёта;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
• карточка Т-2, личные дела;
• автобиография;
• анкета;
• заявления;
• медицинское заключение о состоянии здоровья;
• трудовой договор;
• документы, содержащие сведения о заработной плате, доплатах и надбавках по настоящему месту работы и предыдущим местам работы;
• подлинники и копии приказов по личному составу;
• основания к приказам по личному составу;
• оригиналы и копии документов об образовании;
• рекомендации, характеристики;
• материалы аттестационных комиссий;
• отчеты, аналитические и справочные материалы, передаваемые в государственные органы статистики, налоговые инспекции, другие учреждения, головную организацию;
• копии отчетов, направляемые в органы статистики;
• другие документы, содержащие сведения, предназначенные для использования в служебных целях.

Данные документы являются конфиденциальными (составляющими охраняемую законом тайну), но в связи с их массовостью, регламентированием порядка обработки и четким определением мест хранения - гриф ограничения на них не ставится.

• Режим конфиденциальности персональных данных работников снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

IV. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Условия получения персональных данных работника.

Все персональные данные работника Организации следует получать с его согласия. Если персональные данные работника могут быть получены только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Должностное лицо Работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Письменное согласие работника на обработку своих персональных данных должно включать в себя:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес Организации, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Организации способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора, и при этом должно отвечать требованиям, предъявляемым к содержанию согласия, согласно ч.4 ст. 9 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных».

Работодатель не имеет права получать и обрабатывать персональные данные работника Организации об его расовой, национальной принадлежностях, политических взглядах, религиозных или философских убеждениях, интимной жизни.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

Обработка специальной категории персональных данных работника о состоянии его здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Федерального закона «О персональных данных» в рамках трудового законодательства может осуществляться Работодателем без согласия работника.

Обработка персональных данных работников работодателем возможна без их согласия в следующих случаях:

• персональные данные являются общедоступными;
• обработка ПД работника необходима для защиты жизни, здоровья или иных жизненно важных интересов работника и/или других лиц и получение согласия работника невозможно;
• по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом;
• обработка персональных данных осуществляется на основании Трудового кодекса РФ, Налогового кодекса РФ, Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в

Российской Федерации», Федерального закона от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации», Федерального закона от 16.07.1999 года № 165-ФЗ «Об основах обязательного социального страхования», Федерального закона № 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью» или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

• обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
• обработка персональных работника осуществляется в случаях, предусмотренных трудовым договором, правилами внутреннего трудового распорядка, а также локальными актами Работодателя, принятыми в порядке, установленном статьями 5, 8, 12 Трудового кодекса РФ;
• обработка персональных данных близких родственников работника осуществляется в объеме, предусмотренном унифицированной формой № Т- 2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление социальных выплат) (в иных случаях, получение согласия близких родственников работника является обязательным условием обработки их персональных данных);
• если обработка персональных данных работника ведется при осуществлении пропускного режима на территорию зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному локальными актами работодателя, принятыми в соответствии с нормами статей 5, 8, 12 Трудового кодекса РФ.

В соответствие с требованиями ГОСТ Р ИСО/МЭК 19794-5-2013 «Автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система видеонаблюдения, используемая в Организации, не обрабатывает биометрические ПД на основании, которых возможно идентифицировать личность работника.

• Порядок сбора персональных данных работника
  • Работник Организации обязан предоставлять сотруднику службы по работе с персоналом достоверные сведения о себе. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. Сотрудник службы по работе с персоналом Организации проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет Работодателю:

• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
• документ, который подтверждает регистрацию в системе индивидуального персонифицированного учета, в том числе в форме электронного документа, либо страховое свидетельство государственного пенсионного страхования, за исключением случаев, когда трудовой договор заключается впервые;
• документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
• документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
• свидетельство о присвоении ИНН (при его наличии у работника)
• справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям.
  • Документы, содержащие персональные данные работника, создаются путём:
• Создания комплекта документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении методом внесения сведений в учётные формы (на бумажных и электронных носителях);
• копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, документ, подтверждающего регистрацию в системе индивидуального персонифицированного учета);
• получения оригиналов необходимых документов (трудовая книжка и (или) сведения о трудовой деятельности, личный листок по учёту кадров, автобиография).
  • При поступлении на работу в Организацию:

Сотрудником службы по работе с персоналом заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

• общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
• сведения о воинском учете;
• данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

• сведения о переводах на другую работу;
• сведения об аттестации;
• сведения о повышении квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях;
• сведения о месте жительства и контактных телефонах.

Работник заполняет анкету:

• Анкета представляет собой перечень вопросов о персональных данных работника.
• Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержаться в его личных документах.
• Анкета работника хранится в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.

Личное дело работника оформляется после издания приказа о приеме на работу:

• Все документы личного дела подшиваются в обложку образца, установленного в Организации. На ней указываются фамилия, имя отчество работника. К каждому личному делу прилагается фотография работника.
• Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения персональных данных, вносимые в личное дело, должны быть подтверждены соответствующими документами, предоставляемыми работником.
• Порядок обработки персональных данных работника

В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина Руководитель Организации и назначенные им работники Организации при обработке персональных данных работника должны соблюдать следующие общие требования:

Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

• При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
• При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
• Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.
• Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
• Порядок хранения персональных данных
  • Персональные данные работников могут храниться, как на бумажных носителях, так и в электронном виде в информационных системах персональных данных Организации, в электронных папках и файлах в персональных компьютерах (ПК) сотрудников Организации: руководителя службы по работе с персоналом, сотрудников службы по работе с персоналом, бухгалтерии.

Доступ к ПК строго ограничен кругом лиц, определённых приказом генерального директора, каждый компьютер защищен паролем, и оснащен сертифицированной антивирусной защитой.

• В службе по работе с персоналом Организации хранятся в специально отведенном железном шкафу следующие группы документов, содержащие ПД работников в единичном или сводном виде:
• Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с соискателем на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Организации, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
• Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Организации); документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.

В том числе в специально отведенном железном щкафу хранятся:

• трудовые книжки, документы воинского учёта, карточки работников по форме Т-2;
• личные дела в бумажном виде в папках. Личные дела находятся в службе пр работе с персоналом. Ключи от железного шкафа хранятся лично у руководителя службы по работе с персоналом и начальника отдела кадров.
  • Хранение персональных данных в финансовом департаменте:
• Персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом щкафу, установленном в рабочем месте руководителя финансового департамента.
• Персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК руководителя финансового департамента, заместителя главного бухгалтера, бухгалтеров по заработной плате.
• Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.
  • Персональные данные работников Организации, содержащиеся на электронных носителях, уничтожаются в течение тридцати дней со дня окончания претензионного срока по индивидуальным трудовым спорам, установленного ст.392 Трудового кодекса РФ, по причине достижения Организацией цели обработки персональных данных этого работника и на основании п.4.ст.21. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
• Обработка персональных данных уволенных работников

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством.

С учетом положений п.2 ч.1 ст.6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», согласие уволенных работников на обработку их персональных данных не требуется в следующих случаях:

• при исполнении нормы подп.5 п.З ст.24 Налогового кодекса Российской Федерации, где установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога;
• при выполнении требований статьи 17 Федерального закона от 21 ноября 1996 года № 129-ФЗ «О бухгалтерском учете», в которой определяется, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет.
• Обработка персональных данных соискателей на должность

При обработке персональных данных соискателей на замещение вакантных должностей в Организации требуется получение согласия соискателя на обработку его персональных данных на период принятия Работодателем решения р приеме либо отказе в приеме на работу.

В случае если сбор персональных данных соискателей на должность осуществляется посредством типовой формы анкеты соискателя, утвержденной в Организации, то данная типовая форма анкеты должна соответствовать требованиям п.7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

Получение согласия от соискателя также является обязательным условием при направлении Работодателем запросов в иные организации, в том числе, по прежним местам работы соискателя, для уточнения или получения о нем дополнительной информации.

Работодатель имеет право осуществлять обработку ПД соискателей на должность без их согласия в следующих случаях:

• если от имени соискателя действует кадровое агентство, с которым субъект персональных данных заключил соответствующий договор;
• когда соискатель самостоятельно разместил свое резюме в сети Интернет, и оно стало доступно неограниченному кругу лиц;
• если типовая форма анкеты соискателя на должность реализована Работодателем в электронной форме на сайте Организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле.

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи Работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления, указанного резюме самим соискателем (например, пригласить соискателя на личную встречу с уполномоченными работниками Работодателя, осуществить обратную связь посредством электронной почты и т.д.).

При поступлении в адрес Работодателя резюме, составленного в произвольной форме, при которой не представляется возможным однозначно определить физическое лицо, которое его направило, данное резюме подлежит уничтожению в день поступления.

В случае отказа соискателю в приеме на работу сведения, им предоставленные, должны быть уничтожены в течение 90 дней.

V. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
2. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, установленных федеральными законами. Письменное согласие работника оформляется по установленной форме.
3. Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
4. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
5. Передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом РФ и Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
6. Сотрудники Работодателя, передающие персональные данные работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работников. Акт составляется по установленной форме и должен содержать следующие условия:
7. уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
8. предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.

В случае поступления запросов из организаций Работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лищь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет соблюдено.

Передача документов (иных материальных носителей), содержащих персональные данные работников, осуществляется при наличии у лица, уполномоченного на их получение:

• письменного договора с Организацией;
• соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника;
• письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.

Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника Организации несет руководитель службы по работе с персоналом, а также сотрудник, осуществляющий передачу персональных данных работника третьим лицам.

• Представителю работника персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:
• нотариально удостоверенной доверенности представителя работника;
• письменного заявления работника, написанного в присутствии сотрудника службы по работе с персоналом Работодателя, либо нотариально заверенного.

Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.

Доверенности, разрешения и заявления хранятся в службе по работе с персоналом в личном деле работника.

• Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства.
• Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии письменного согласия работника, удостоверенного нотариально.
• Документы, содержащие персональные данные работника, могут быть отправлены через организацию федеральной почтовой связи заказным отправлением, с уведомлением о вручении. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Данный конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

Уведомления о вручении хранятся в службе по работе с персоналом в личном деле работника.

Передача информации, содержащей сведения о персональных данных работников Организации, по телефону, факсимильной связи, электронной почте запрещается.

Организация обеспечивает ведение журнала учета выданных персональных данных работников, в котором фиксируются сведения о лице, которому передавались персональные данные работников, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

• Согласия работника на передачу его персональных данных третьим лицам не требуется в случаях:
• когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или иных лиц, а поучить согласие работника не представляется возможным;
• когда третьи лица оказывают услуги Работодателю на основании заключенных договоров;
• в случае передачи персональных данных работников в Фонд социального страхования Российской Федерации и Пенсионный фонд Российской Федерации;
• при передаче персональных данных работника в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании (в соответствии с Правилами оказания гостиничных услуг в Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 25.04.1997 № 490, и иными нормативными правовыми актами в сфере транспортной безопасности);
• в случае передачи работодателем персональных данных работников в налоговые органы, военные комиссариаты, профсоюзные органы, предусмотренные действующим законодательством Российской Федерации;
• если ПДн работника обрабатываются или передаются в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации (при этом мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации);

Передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

• договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу Работодателем персональных данных работника;
• наличие у Работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
• соответствующая форма и система оплаты труда прописана в трудовом договоре.

VI. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

1. Персональные данные в Организации могут обрабатываться только уполномоченными в установленном порядке Работниками.

Работники допускаются в Организации к обработке персональных данных только решением Руководителя Организации.

Доступ к персональным данным работника имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.

Работники, допущенные в Организации к обработке персональных данных, имеют право приступать к работе с персональными данными только после ознакомления под личную роспись с локальными нормативными актами, регламентирующими в Организации обработку ПДн.

Работники, осуществляющие в Организации обработку персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Организации, и соблюдать требования Организации по соблюдению режима конфиденциальности.

Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя службы по работе с персоналом.

• Право доступа к персональным данным в Организации имеют:
• Генеральный директор,
• Заместители генерального директора, подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения, направления),
• Сотрудники службы по работе с персоналом,
• Сотрудники финансового отдела,

Бухгалтер, осуществляющий расчет заработной платы для сотрудников,

• Специалист, обслуживающий программу 1С:Предприятие, имеющий доступ к персональным данным сотрудников,

Руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения),

• При переводе из одного структурного подразделения в другое, доступ к персональным данным работника может иметь руководитель нового подразделения,
• Сам работник, субъект персональных данных,
• Другие сотрудники Организации с санкции генерального директора при выполнении ими своих служебных обязанностей.
• В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора, доступ к персональным данным может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным, и которым они необходимы в связи с исполнением трудовых обязанностей.
• Все сотрудники, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

VII» ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

• . Субъект персональных данных обязан передавать Оператору или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ, настоящим Положением и Правилами внутреннего трудового распорядка, принятыми в Организации.

Субъект персональных данных должен своевременно в срок, не превышающий трех рабочих дней, сообщать Оператору об изменении своих персональных данных.

•  В целях обеспечения защиты персональных данных, хранящихся в Организации, Субъект персональных данных имеет право:
• На полную информацию об своих персональных данных и обработке этих данных; на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом.

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

• Получать от оператора сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
• Определить своих представителей для защиты своих персональных данных.
• Требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального законодательства.
• Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
• При отказе Оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.
• Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.
• Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
• Обжаловать в суде любые неправомерные действия или бездействие Оператора при обработке и защите его персональных данных.

3. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на сохранение и защиту своей личной и семейной тайны, на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Во всех случаях отказ субъекта персональных данных от своих прав на сохранение и защиту конфиденциальности его персональных данных недействителен и юридически ничтожен.

VIII. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Организация обязана при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Защите подлежит:

• информация о персональных данных субъекта, содержащаяся на бумажных носителях;
• документы, содержащие персональные данные субъекта;
• персональные данные, содержащиеся на электронных носителях.
• Общую организацию защиты персональных данных субъектов осуществляет генеральный директор, руководитель службы по работе с персоналом, главный бухгалтер и сотрудник, уполномоченный в Организации осуществлять защиту ПДн.

Генеральный директор отвечает за введение и осуществление в Организации режима конфиденциальности персональных данных.

Руководитель службы по работе с персоналом обеспечивает:

• Ознакомление работников под роспись с настоящим Положением, приказами и иными внутренними локальными нормативными актами, регулирующими обработку и защиту персональных данных в Организации.
• Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки.
• Общий контроль соблюдения работниками мер по защите персональных данных работников.
• Хранение личных дел и документов, содержащих персональные данные работников, в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
• Выдачу личных дел только по письменному разрешению генерального директора руководителям структурных подразделений (например, при подготовке материалов для аттестации работника).
• Не допущение выдачи личных дел на рабочие места руководителей (личные дела могут выдаваться на рабочие места, только генеральному директору).
• Контроль возврата в службу по работе с персоналом в конце рабочего дня всех выданных работникам документов, содержащий ПДн работников.
• Организацию обучения сотрудников службы по работе с персоналом требованиям российского законодательства в области обработки ПДн.

Главный бухгалтер обеспечивает:

• Общий контроль соблюдения работниками бухгалтерии мер по защите персональных данных работников.
• Хранение документов, содержащих персональные данные работников, в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
• Организацию обучения сотрудников бухгалтерии требованиям российского законодательства в области обработки Пдн.

Уполномоченным сотрудником ответственным за организацию обработки и защиту персональных данных является Директор дирекции ИТ инфраструктуры электронная почта: compliance@bgoperator.com

Уполномоченный сотрудник обеспечивает:

Защиту информационных систем Организации, в которых обрабатываются персональные данные.

• Общий контроль соблюдения работниками мер по защите персональных данных, в том числе в случае автоматизированной обработке ПДн.
• Организацию обучения работников требованиям российского законодательства в области обработки ПДн.
• Все работники, допущенные к обработке персональных данных, на основании письменного обязательства несут персональную ответственность за соблюдение конфиденциальности персональных данных.

Работники, допущенные к обработке персональных данных, обязаны соблюдать следующие правила:

• Обеспечивать хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.
• В отсутствие работника на его рабочем месте не должно быть документов, содержащих персональные данные.
• При уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные лицу, на которое приказом или распоряжением генерального директора будет возложено исполнение его трудовых обязанностей.

В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным по указанию руководителя службы по работе с персоналом или другим уполномоченным лицом.

• При увольнении работника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным в по указанию генерального директора.
• Допуск к персональным данным работника других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.
• Копировать и делать выписки персональных данных разрешается исключительно в служебных целях при наличии письменного разрешения руководителя службы по работе с персоналом.
• Защита информационных систем Организации, в которых обрабатываются персональные данные работников, от несанкционированного, в том числе, случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с утвержденными генеральным директором локальными нормативными актами.

Защита доступа к электронным носителям, содержащим персональные данные работников, обеспечивается, том числе:

• Организацией контроля доступа в помещения информационной системы посторонних лиц.
• Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным.
• Разграничением прав доступа с использованием учетной записи.

Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

• Учетом машинных носителей персональных данных.
• Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
• Контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.

IX. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные, несет персональную ответственность за данное разрешение.

Каждый сотрудник Организации, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

• Генеральный директор за нарушение норм, регулирующих получение, обработку и защиту персональных данных, несет административную ответственность согласно ст. 13.11 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные.
• За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных работников Работодатель вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания:
• замечание;
• выговор;
• увольнение.

За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.

Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.

• Должностные лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, или договорными обязательствами, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
• В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
• Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.