• Facebook Classic
  • LinkedIn Classic
 

 

                           Политика обработки персональных данных

 

1. Общие положения

2. Принципы и условия обработки персональных данных

3. Согласие субъекта персональных данных на обработку его персональных данных

4. Цели обработки персональных данных

5. Круг субъектов, персональные данные которых обрабатываются

6. Права субъекта персональных данных

7. Обеспечение безопасности персональных данных

8. Ответственность

9. Заключительные положения

 

1.Общие положение

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «Лидерс Лабс» (далее «Оператор») с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая Политика разработана в соответствии со статьями Конституции РФ, Трудового кодекса РФ, Кодекса РФ об административных правонарушениях, Гражданского кодекса РФ, Уголовного кодекса РФ, Федерального закона «Об информации, информатизации и защите информации»,  Федерального закона «О защите персональных» и другие действующие нормативно-правовые акты РФ.

1.3. Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми работниками Оператора, имеющими доступ к персональным данным..

1.4. В настоящей Политике используются следующие термины и определения:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

К персональным данным относятся:

  • анкетные и биографические данные;

  • образование;

  • сведения о трудовом и общем стаже;

  • сведения о предыдущем месте работы;

  • сведения о составе семьи;

  • паспортные данные;

  • сведения о воинском учете;

  • сведения о заработной плате;

  • сведения о социальных льготах;

  • специальность;

  • занимаемая должность;

  • наличие судимостей;

  • адрес места жительства;

  • контактные телефоны;

  • место работы или учебы членов семьи и родственников;

  • содержание трудового договора;

  • состав декларируемых сведений о наличии материальных ценностей;

  • содержание декларации, подаваемой в налоговую инспекцию;

  • подлинники и копии приказов по личному составу;

  • личные дела и трудовые книжки;

  • основания к приказам по личному составу;

  • дела, содержащие материалы по повышению квалификации и переподготовке, их аттестации, служебным расследованиям;

  • копии отчетов, направляемые в органы статистики;

  • копии документов об образовании;

  • результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

  • рекомендации, характеристики и т.п.

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.5. Действие настоящей Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств.

 

2. Принципы и условия обработки персональных данных

2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

2.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

2.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

2.7. Оператор обрабатывает персональные данные при наличии одного из следующих условий:

2.7.1. обработка персональных данных осуществляется с согласия субъекта персональных данных;

2.7.2. обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством;

2.7.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

2.7.4. обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

2.7.5. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

2.7.6. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

 

3. Согласие субъекта персональных данных на обработку его персональных данных

3.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

3.2. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

3.3. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Используя соответствующий интернет-сайт Оператора и нажимая «Я согласен» субъект персональных данных выражает свое согласие и дает разрешение на обработку своих персональных данных в порядке, предусмотренном настоящей Политикой.

3.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

 

4. Цели обработки персональных данных

4.1. Оператор обрабатывает персональные данные субъекта персональных данных исключительно в следующих целях:

4.1.1. осуществления деятельности по трудоустройству граждан и подбора персонала, предусмотренной Уставом Оператора;

4.1.2. заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Оператора;

4.1.3. организации кадрового учета Оператора, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами.

 

5. Круг субъектов, персональные данные которых обрабатываются

5.1. В зависимости от субъекта персональных данных, Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:

5.1.1. персональные данные работника Оператора;

5.1.2. персональные данные Клиента (потенциального Клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом) Оператора;

5.1.3. персональные данные Соискателя, обратившегося к Оператору в целях содействия в трудоустройстве, Кандидата, претендующего на вакантные должности Клиента Оператора;

5.1.4. персональные данные физического лица, обратившегося к Оператору с жалобами, заявлениями и обращениями.

6. Права субъекта персональных данных

Субъект персональных данных имеет право:

6.1. на получение сведений о персональных данных, обрабатываемых Оператором;

6.2. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

6.3. получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

6.4. требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

6.5. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

 

7. Обеспечение безопасности персональных данных

7.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

7.2. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.2. 1 «Внутренняя защита».

Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами Оператора.

Для обеспечении внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний.

К обработке, передаче и хранению персональных данных могут иметь доступ следующие сотрудники:

  • генеральный директор, главный бухгалтер;

  • остальные сотрудники бухгалтерии;

  • сотрудники, связанные с кадровой работой;

  • сотрудники компьютерных отделов;

  • строгое избирательное и обоснованное распределение документов и информации между работниками;

  • рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

  • знание работником требований нормативно-методических документов по защите информации и сохранении тайны;

  • наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

  • определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

  • организация порядка уничтожения информации;

  • своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

  • воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

  • все папки, содержащие персональные данные, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий.

7.2.2 «Внешняя защита».

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Оператора, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер:

  • порядок приема, учета и контроля деятельности посетителей;

  • пропускной режим Оператора;

  • учет и порядок выдачи удостоверений;

  • технические средства охраны, сигнализации;

  • порядок охраны территории, зданий, помещений, транспортных средств;

  • требования к защите информации при интервьюировании и собеседованиях.

7.2.3. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.

 

8. Ответственность

8.1. Персональная ответственность - одно из главных требований к Оператору функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

8.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

8.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

8.4. Каждый работник Оператора, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

8.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

8.5.2. Должностные лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

8.5.3. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.

8.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

8.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

 

9. Заключительные положения

9.1. Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению на официальном сайте Оператора.

9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным лицом Оператора.