Положение об обработке и защите персональных данных в Обществе с ограниченной ответственностью «Стафф менеджмент»

Утверждено приказом Генерального директора ООО «Стафф менеджмент»

№2- пр от «01» 12 2017 года.

 

Положение об обработке и защите персональных данных в Обществе с ограниченной ответственностью «Стафф менеджмент».

 

1. Общие положения

1.1. Настоящее Положение устанавливает политику в отношении обработки персональных данных в Обществе с ограниченной ответственностью «Стафф менеджмент» и определяет порядок обработки, получения, хранения, предоставления и защиты персональных данных.

1.2. Настоящее Положение распространяется на Общество с ограниченной ответственностью «Стафф менеджмент» (далее именуемое «Оператор»), а также работников Общества с ограниченной ответственностью «Стафф менеджмент» и контрагентов-физических лиц Общества с ограниченной ответственностью «Стафф менеджмент» (далее именуемых «Субъект персональных данных»).

1.3. Целью данного Положения является защита персональных данных Субъекта персональных данных от несанкционированного доступа, неправомерного их использования или утраты.

1.4. Настоящее Положение разработано на основании положений Конституции Российской Федерации, Трудового Кодекса Российской Федерации, Кодекса об административных правонарушениях Российской Федерации, Гражданского Кодекса Российской Федерации, а также Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных».

1.5. Сбор и обработка персональных данных в ведется Оператором в соответствии с трудовым законодательством Российской Федерации, а также в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; в связи с чем осуществляется без уведомления уполномоченного органа по защите прав субъектов персональных данных.

1.6. Обработка персональных данных Оператором осуществляется с согласия Субъекта персональных данных на их обработку.

1.7. Источником поступления персональных данных обрабатываемых Оператором является сам Субъект персональных данных.

1.8. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.9. Настоящее Положение является обязательным для исполнения всеми работниками Оператора.

 

2. Понятие и состав персональных данных

2.1. Персональными данными является любая информация, прямо или косвенно относящаяся к Субъекту персональных данных.

2.2. Состав персональных данных: - анкета;- автобиография;- образование;- сведения о трудовом и общем стаже;- сведения о предыдущем месте работы;- сведения о составе семьи;- паспортные данные;- сведения о воинском учете;- сведения о заработной плате сотрудника;- сведения о социальных льготах;- специальность;- занимаемая должность;- размер заработной платы;- адрес места жительства;- домашний телефон;- содержание трудового договора;- содержание декларации, подаваемой в налоговую инспекцию;- подлинники и копии приказов по личному составу;- личные дела и трудовые книжки сотрудников;- основания к приказам по личному составу;- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;- копии отчетов, направляемые в органы статистики;- копии документов об образовании;- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;- фотографии и иные сведения, относящиеся к персональным данным работника;- рекомендации, характеристики; - принадлежность лица к конкретной нации, этнической группе, расе; - семейное положение, наличие детей, родственные связи; - религиозные или философские убеждения; - прочие сведения, которые могут идентифицировать человека.

Из указанного списка Оператор вправе получать и использовать только те сведения, которые характеризуют Субъект персональных данных как сторону трудового договора.

 

3. Обязанности Оператора

3.1. В целях обеспечения прав и свобод человека и гражданина Оператор и его работники при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам обработки персональных данных в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.1.2. При определении объема и содержания обрабатываемых персональных данных работника Оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

3.1.3. Все персональные данные следует получать у него самого субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать согласие на их получение субъекту персональных данных.

3.1.4. Оператор не имеет права получать и обрабатывать персональные данные о политических убеждениях и частной жизни субъекта персональных данных. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни субъекта персональных данных, являющимся его работником только с его письменного согласия.

3.1.5. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных, являющимся его работником о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законом.

3.1.6. При принятии решений, затрагивающих интересы субъекта персональных данных, являющимся работником Оператора, Оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.7. Защита персональных данных от неправомерного их использования или утраты обеспечивается Оператором работодателем за счет его средств в порядке, установленном законом.

 

4. Обязанности субъекта персональных данных

4.1. Субъект персональных данных обязан передавать Оператору или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации, иными нормативными и подзаконными актами Российской Федерации, международными нормами и правилами, внутренними актами Оператора.

4.2. Субъект персональных данных обязан своевременно в разумный срок, не превышающий 5 дней, сообщать Оператору об изменении своих персональных данных.

 

5. Права субъекта персональных данных

5.1. Субъект персональных данных имеет право на полную информацию о своих персональных данных и обработке этих данных.

5.2. Субъект персональных данных имеет право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.3. Субъект персональных данных имеет право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе Оператора исключить или исправить персональные данные субъекта персональных данных, последний имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.

5.4. Субъект персональных данных вправе обжаловать в суд любые неправомерные действия Оператора при обработке и защите его персональных данных.

 

6. Сбор, обработка, хранение персональных данных.

6.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника.

6.2. При поступлении на работу субъект персональных данных собственноручно составляет соответствующее заявление.  По решению Оператора также могут составляться соответствующие анкета и автобиография.

6.3. Документы персонального учета хранятся в личном деле субъекта персональных данных. Личное дело оформляется после издания приказа о приеме на работу.

6.4. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Личное дело ведется на протяжении всей трудовой деятельности субъекта персональных данных. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

6.5. В связи с заключением договора, стороной которого является субъект персональных данных, не являющийся работником Оператора, для исполнения указанного договора и заключения договоров с указанным субъектом также может осуществляться обработка персональных данных указанных лиц.

6.6. Персональные данные, указанные в пункте 6.5. настоящего Положения, не предоставляются третьим лицам без согласия субъекта персональных данных.

6.7. Персональные данные, указанные в пункте 6.5. обрабатываются на тех же условиях и в том же порядке, как предусмотрено настоящим Положением для иных персональных данных.

 

7. Передача персональных данных

7.1. При передаче персональных данных Оператор должен соблюдать следующие требования:

- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных законом;

- не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных;

- предупредить лиц, получающих персональные данные от Оператора, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных от Оператора, обязаны соблюдать конфиденциальность;

- разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- передавать персональные данные представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

7.2. Трансграничная передача персональных данных Оператором не осуществляется.

7.3. Автоматизированная обработка персональных данных Оператором не осуществляется.

 

8. Доступ к персональным данным субъекта персональных данных

8.1. Внутренний доступ (доступ внутри Оператора).

Право доступа к персональным данным субъекта персональных данных имеют:

- Генеральный директор;

- Менеджеры;

- сам субъект персональных данных (только к своим персональным данным).

8.2. Внешний доступ. Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры в случаях если это предусмотрено законодательством Российской Федерации и Калининградской области.

8.3. Родственники и члены семей. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.

 

9. Защита персональных данных

9.1. В целях обеспечения сохранности и конфиденциальности персональных данных все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками менеджерами и лицами ему непосредственно подчиненными, под контролем генерального директора, а в отсутствие работника занимающего должность Генеральным директора- менеджером.

9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных данных.

9.3. Личные дела и документы, содержащие персональные данные, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа по месту нахождения Генерального директора.

              9.4. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.