ПОЛИТИКА О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика об обработке персональных данных (далее – Политика) устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным соискателей на работу и работников, членов семей работников, физических лиц контрагентов, представителей и работников контрагентов (совместно именуемые – Субъект(ы) персональных данных), пользователей сайта http://Синтех.рф предприятия ООО «Синтех» (далее – Общество, Оператор),
1.2. Основной целью Политики об обработке персональных данных является соблюдение прав и свобод человека и гражданина при обработке его персональных данных, защита персональных данных Субъектов персональных данных от несанкционированного доступа, неправомерного их использования, разглашения или утраты, а также установление ответственности за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Дополнительными целями Политики, а равно обработки Оператором персональных данных Субъектов персональных данных, являются:
- Соблюдение Обществом положений действующего законодательства Российской Федерации;
- Осуществление возложенных на Общество законодательством Российской Федерации функций в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральными законами «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», иным применимым законодательством;
- Содействие в трудоустройстве, в обучении, продвижении в карьере, пользовании различного вида льготами в соответствии с законодательством Российской Федерации;
- Ведение кадрового, воинского и бухгалтерского учета;
- Контроль дисциплины труда, соблюдения режима использования имущества работодателя;
- Оформление добровольного медицинского страхования для работников;
- Содействие в участии работников в корпоративных (внутренних) мероприятиях работодателя и внешних мероприятиях (конференции, семинары, лекции, встречи и т.п.);
- Координация выполнения работниками своих трудовых обязанностей, создание условий труда, обеспечивающих нормальную трудовую деятельность работника;
- Получение от работников обратной связи по поводу процессов работодателя, работы у работодателя, по поводу мероприятий работодателя;
- Оформление банковской карты/открытие банковского счета, на которые будет перечисляться заработная плата;
- Информирование субъектов ПДн посредством отправки электронных писем о услугах, продуктах.
- Рассмотрения вопросов соответствия физических лиц размещенным вакансиям; физических и юридических лиц требованиям к выполнению работ/услуг, возникающих в процессе деятельности Общества.
- Заключение договоров с контрагентами-физическими лицами;
- Обеспечение своей деятельности в соответствии с Уставом предприятия при работе с контрагентами, их представителями и работниками.
- Соблюдения деловой этики при работе с контрагентами
1.4. Настоящая Политика в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о субъектах персональных данных от самих субъектов, в том числе посетителях веб-сайта http://синтех.рф
1.5. Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», иными нормативно-правовыми актами. Полный перечень документом, в соответствии с которыми разработана Политика, отражен в разделе 3 «Правовые основания обработки персональных данных» настоящей Политики.
1.6. Порядок ввода в действие и изменения Политики:
1.6.1. Политика вступает в силу с момента утверждения ее руководителем Общества и действует бессрочно, до замены ее новой Политикой.
1.6.2. Все изменения в Политику вносятся соответствующим приказом.
1.7. Все работники Общества должны быть ознакомлены с настоящей Политикой и изменениями к ней, в случае их ввода, под подпись.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Для целей настоящей Политики используются следующие основные понятия:
-работодатель – Общество в лице руководителя (единоличного исполнительного органа) Общества;
- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- Субъект персональных данных (СПДн) – это физическое лицо, которому принадлежат данные, и которое может быть прямо или косвенно идентифицировано по этим данным.
- работники – физические лица, состоящие или состоявшие в трудовых отношениях с работодателем;
- трудовые отношения – отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции, подчинении работника Правилам внутреннего трудового распорядка при обеспечении работодателем условий труда, предусмотренных трудовым законодательством и трудовым договором;
- должностные лица – руководитель Общества и уполномоченные директором представители работодателя, выполняющие от его имени или в его интересах те или иные функции в силу должностных обязанностей, выданных доверенностей и т.п., в частности, в сфере трудовых отношений;
- уполномоченные обществом специалисты – работники Общества, в функциональные обязанности которых входит обработка персональных данных работника/соискателей;
- Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу http://синтех.рф.
- Пользователь – любой посетитель веб-сайта http://синтех.рф.
- персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, в том числе Пользователю сайта http://синтех.рф.
- обработка персональных данных – - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования., в том числе: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, распространение, доступ), обезличивание, блокирование, уничтожение персональных данных;
- конфиденциальность персональных данных – обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным субъектов ПДн, требование не допускать их распространения, передачи, несанкционированного доступа к ним без согласия работника или иного законного основания;
- распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
- передача, предоставление персональных данных (в т.ч. доступ) - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
- блокирование персональных данных – временное прекращение сбора, систематизации, н накопления, использования, распространения персональных данных субъектов ПДн, в том числе их передачи;
- уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов ПДн или в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту ПДн;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств вычислительной техники;
- смешанная обработка персональных данных – обработка персональных данных как с использованием средств вычислительной техники, так и без использования таких средств;
- ИСПДн (информационная система персональных данных) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- информация – сведения (сообщения, данные) независимо от формы их представления;
- Трансграничная передача персональных данных (ТППД) — это передача личной информации гражданина на территорию иностранного государства органу власти иностранного государства, иностранному юрлицу или физлицу
- документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. При разработке Политики были использованы следующие нормативные документы:
-Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский Кодекс Российской Федерации
- Налоговый Кодекс Российской Федерации
- Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью"
- Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 06.07.2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Иные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
- устав Общества;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- инструкция о порядке действий в целях защиты персональных данных;
- согласие на обработку персональных данных (в случаях, прямо непредусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
- Персональные данные Пользователя, направленные самим Пользователем на электронную почту, указанную на сайте http://синтех.рф. Отправляя свои ПДн, Пользователь выражает свое согласие с Политикой.
- Иные локальные нормативные акты, регулирующие отношения, связанные с деятельностью Оператора и требующие для этого персональные данные субъектов ПДн.
4. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ РАБОТОДАТЕЛЕМ/ОПЕРАТОРОМ
4.1. Для целей исполнения отношений, возникающих между Работодателем и работником, включая: исполнение законодательства Российской Федерации в области Трудового, Налогового, Социального и иных применимых законодательств; ведения военного, кадрового, бухгалтерского учетов; оформление банковских документов и начисления заработной платы; контроль трудовой дисциплины; оформление ОМС; заключения гражданско-правовых, трудовых и иных договоров с работниками; заключения и исполнения договоров с контрагентами, предоставление данных работников для подтверждения соответствия продукции, системы менеджмента, услуг требованиям нормативной документации по различным отраслевым направлением; осуществления иной деятельности, не противоречащей Уставу Общества и законодательству Российской Федерации – Работодатель обрабатывает следующие персональные данные работников:
- фамилия, имя отчество;
- пол;
- гражданство;
- ИНН, страховой номер индивидуального лицевого счета;
- информация о трудовом стаже, прежних местах работы;
- сведения о трудоспособности (возможность выполнения трудовой функции);
- информация о работе на муниципальной/государственной службе;
- дата рождения, место рождения, возраст;
- должность, уровень заработной платы;
- номер банковского счета, номер банковской карты;
- образование, профессия, квалификация;
- паспортные данные;
- сведения о воинском учете (категория запаса, воинское звание, состав, обозначение ВУС, категория годности к военной службе, наименование военного комиссариата по месту воинского учета, информация о мобилизационном предписании, данные документа воинского учета, а также иные, предусмотренные действующим законодательством Российской Федерации);
- информация о прохождении военной службы (в т.ч. срочной);
- сведения о заработной плате;
- информация о возможности управления транспортного средства, данные водительского удостоверения (в случаях, если трудовая функция связана с необходимостью управления транспортным средством)
- сведения о социальных льготах,
- адрес места жительства, адрес регистрации;
- номер телефона (относится к персональным данным только в сочетании с другими персональными данными работника);
- адрес электронной почты (если позволяет идентифицировать работника как конкретного субъекта персональных данных, в ином случае не относится к персональным данным);
- сведения о семейном положении, составе семьи;
- деловые и иные качества, носящие оценочный характер;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
4.2. Для целей исполнения Трудового законодательства, и иных непосредственно связанных с ним отношений, рассмотрение вопроса на соответствие кандидатуры соискателя имеющимся вакансиям, вакансиям: - Работодатель обрабатывает следующие данные соискателей
- фамилия, имя отчество;
- пол;
- гражданство;
- информация о трудовом стаже, прежних местах работы;
- сведения о трудоспособности (возможность выполнения трудовой функции);
- дата рождения, место рождения, возраст;
- должность, уровень заработной платы;
- образование, профессия, квалификация;
- паспортные данные (номер, серия, дата и орган выдачи, код подразделения, дата выдачи);
- сведения о воинском учете, информация о прохождении военной службы;
- информация о возможности управления транспортного средства, данные водительского удостоверения (в случаях, если трудовая функция связана с необходимостью управления транспортным средством)
- номер телефона (относится к персональным данным только в сочетании с другими персональными данными работника);
- адрес электронной почты (если позволяет идентифицировать работника как конкретного субъекта персональных данных, в ином случае не относится к персональным данным);
- деловые и иные качества, носящие оценочный характер;
4.3. Для целей исполнения Трудового законодательства, и иных непосредственно связанных с ним отношений Работодатель обрабатывает следующие данные членов семей работников: Фамилия, Имя, Отчество, дата рождения; иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
4.4. Для осуществления своей деятельности в соответствии с Уставом Общества, в том числе заключения и исполнения договоров - Оператор обрабатывает следующие данные физических лиц-контрагентов:
- фамилия, имя отчество;
- пол;
- гражданство;
- ИНН (при заключении договоров)
- информация о трудовом стаже, прежних местах работы (при заключении договора оказания услуг);
- дата рождения, место рождения, возраст;
- номер банковского счета, номер банковской карты;
- образование, профессия, квалификация (при заключении договора оказания услуг);
- паспортные данные (номер, серия, дата и орган выдачи, код подразделения, дата выдачи);
- сведения о зарплате, стоимости работ (при заключении договора на оказание услуг);
- информация о возможности управления транспортного средства, данные водительского удостоверения (в случаях, если трудовая функция связана с необходимостью управления транспортным средством)
- адрес места жительства, адрес регистрации;
- номер телефона (относится к персональным данным только в сочетании с другими персональными данными работника);
- адрес электронной почты (если позволяет идентифицировать работника как конкретного субъекта персональных данных, в ином случае не относится к персональным данным);
4.5. Для осуществления своей деятельности в соответствии с Уставом Общества, в том числе заключения и исполнения договоров – Оператор обрабатывает следующие данные контрагентов-юридических лиц, их представителей и работников:
- фамилия, имя отчество;
- пол;
- гражданство;
- дата рождения, место рождения, возраст (при необходимости);
- должность
- паспортные данные (в случае необходимости);
- номер телефона (относится к персональным данным только в сочетании с другими персональными данными работника);
- адрес электронной почты (если позволяет идентифицировать работника как конкретного субъекта персональных данных, в ином случае не относится к персональным данным);
- деловые и иные качества, носящие оценочный характер;
4.6. Для целей осуществления своей деятельности в соответствии с Уставом – Общество обрабатывает следующие данные Учредителей и Участников:
- Фамилия, имя, отчество
- пол;
- гражданство;
- ИНН
- Информация о судимостях
- информация о трудовом стаже, прежних местах работы;
- информация о работе на муниципальной/государственной службе;
- дата рождения, место рождения, возраст;
- номер банковского счета, номер банковской карты;
- образование, профессия, квалификация;
- паспортные данные;
- сведения о воинском учете (категория запаса, воинское звание, состав, обозначение ВУС, категория годности к военной службе, наименование военного комиссариата по месту воинского учета, информация о мобилизационном предписании, данные документа воинского учета, а также иные, предусмотренные действующим законодательством Российской Федерации);
- информация о прохождении военной службы (в т.ч. срочной);
- адрес места жительства, адрес регистрации;
- номер телефона (относится к персональным данным только в сочетании с другими персональными данными работника);
- адрес электронной почты (если позволяет идентифицировать работника как конкретного субъекта персональных данных, в ином случае не относится к персональным данным);
- сведения о семейном положении, составе семьи;
- деловые и иные качества, носящие оценочный характер;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями законодательства.
4.7. Для целей информирование Пользователя посредством отправки электронных писем; предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте http://синтех.рф/ - Оператор обрабатывает следующие данные Пользователей:
- Электронные адреса (в случае направления писем на почтовые адреса, указанные на сайте Оператора)
- Фамилия, имя, отчество адреса (в случае направления писем на почтовые адреса, указанные на сайте Оператора);
- Номера телефонов адреса (в случае направления писем на почтовые адреса, указанные на сайте Оператора);
- Иная информация, направленная субъектов ПДн на почту Оператора
- На сайте может происходить сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других). Обезличенные данные Пользователей, которые собираются с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя. Субъекты данных могут конфигурировать свой браузер таким образом, чтобы получать извещения о приеме файлов cookie и избежать их размещения на своем компьютере. В случае удаления или отключения файлов cookie на настоящем интернет-сайте пользователь может лишиться возможности доступа к определенным функциям сайта
4.8. Оператором не осуществляется обработка биометрических персональных данных работников и соискателей, а также специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российский Федерации, а также в случае согласия субъекта персональных данных на обработку биометрических персональных данных (с указанием используемых биометрических данных).
4.9. Оператор создает и хранит документы, содержащие ПД работников и соискателей, такие как: трудовой договор, личная карточка работника, анкета соискателя и другие документы, требующие или предусматривающие указания персональных данных.
4.10. Обрабатываемые Оператором персональные данные работников и соискателей, физических лиц-контрагентов, представителей и работников контрагентов-юридических лиц, и документы, иные носители, их содержащие, являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 (Семидесяти пяти) лет срока их хранения или продлевается на основании приказа руководителя общества, если иное не определено законодательством Российской Федерации.
5. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных в случаях, когда иное не предусмотрено законодательством Российской Федерации, осуществляется на основании полученного от субъектов ПД согласий на обработку их персональных данных.
5.1.1. В частности, в указанных ниже случаях не требуется согласие работника на обработку его персональных данных:
- обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
- обработка персональных данных осуществляется в целях исполнения трудового договора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
5.2. Персональные данные могут обрабатываться как автоматизированным, так и неавтоматизированным, а также смешанным способами.
5.3. Персональные данные обрабатываются Оператором следующими способами: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, изменение, систематизация, передача (предоставление, распространение, доступ), обезличивание, блокирование, уничтожение персональных данных.
5.4. В целях обеспечения прав и свобод СПДн Оператор и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
5.4.1. Обработка персональных данных может осуществляться исключительно в целях, указанных в Политике.
5.4.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4.3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
5.4.4. Оператор предупреждает лиц, получивших персональные данные субъектов персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, при необходимости. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности персональных данных.
5.4.5. Оператор обрабатывает персональные данные с соблюдением требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона № 152-ФЗ «О персональных данных».
5.4.6. Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона № 152-ФЗ «О персональных данных», для выполнения возложенных на общества обязанностей и для защиты персональных данных.
5.4.7. Распространение персональных данных субъекта ПДн возможно исключительно при получении письменного согласия субъекта ПДн, кроме случаев, предусмотренных действующим законодательством Российской Федерации.
5.4.8. Персональные данные субъекта ПДн следует получать у него самого и только с его согласия. Если персональные данные субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение.
5.4.9. Согласие субъекта ПДн на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.4.10. Согласие на обработку персональных данных, разрешенных для распространения, субъект ПДн предоставляет Оператору непосредственно.
5.4.11. Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия опубликовать или разместить в открытом доступе информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
5.4.12.Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.
5.4.13. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.5.12 настоящей Политики в отношении обработки персональных данных, либо при прекращении трудовых взаимоотношений с Субъектом персональных данных, если иное не противоречит Законодательству Российской Федерации.
5.4.14. Если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации, работодатель обязан разъяснить работнику юридические последствия отказа предоставить его персональные данные.
5.4.15. Работодатель/оператор не имеет права получать и обрабатывать персональные данные субъектов ПДн о их политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.4.16. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
5.5. К персональным данным субъекта ПДн могут иметь доступ должностные лица либо привлеченные Обществом лица:
- руководитель Общества;
- представители работодателя/Общества, уполномоченные действовать от его имени по выданным им доверенностям (исключительно в пределах полномочий, зафиксированных соответствующей доверенностью);
- осуществляющие бухгалтерский учет и расчеты по заработной плате;
- оказывающие юридическое сопровождение работодателя;
- осуществляющие наем сотрудников, кадровое делопроизводство;
- осуществляющие поддержку, техническое сопровождение ИСПДн;
- работники аудиторских организаций, проводящие аудиторские проверки в обществе (в объеме, необходимом для проведения проверки);
- работники коммерческих отделов и иных отделов, которые в процессе трудовой деятельности осуществляют коммуникацию с контрагентами Общества
- иные, прямо указанные в приказе руководителя Общества либо в отдельных локальных нормативных актах, если это целесообразно в контексте управления организацией работодателя.
Основным критерием допуска должностных лиц Общества или привлеченных Обществом лиц к персональным данным субъектов ПДн является служебная (трудовая) необходимость – доступ обеспечивается только в рамках выполнения соответствующими лицами своих должностных обязанностей. При этом указанные лица имеют право получать только те персональные данные Субъекта ПДн, которые необходимы для выполнения конкретных функций.
5.6. Лица Общества, допущенные к обработке персональных данных, обязаны:
- знать и неукоснительно выполнять положения законодательства Российской Федерации, локальных нормативных и распорядительных актов Фонда, регулирующих вопросы обработки персональных данных; настоящей Политике об обработке ПДн;
- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей; не разглашать персональные данные, обрабатываемые в Обществе;
- сообщать о действиях других лиц, которые могут привести к нарушению настоящей Политики;
- сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию обработки персональных данных в Обществе, назначаемому Приказом директора Общества.
5.7. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
5.8. Работодатель/Оператор вправе поручить обработку персональных данных работника (иного субъекта ПДн) другому лицу с согласия работника (субъекта ПДн), если иное не предусмотрено федеральным законом Российской Федерации, на основании заключаемого с этим лицом договора, либо путем принятия государственным органом или муниципальным органом соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, соблюдать режим конфиденциальности персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, установленных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5.9. Передача персональных данных субъекта ПДн возможна только с его согласия или в случаях, предусмотренных законодательством Российской Федерации или договором стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
5.10.Работодатель/Оператор вправе передавать данные работников (субъектов ПДн) по мотивированному письменному запросу уполномоченных органов власти и иных уполномоченных лиц (в соответствии с действующим законодательством Российской Федерации).
5.11. Работодатель вправе передавать данные работников в рамках исполнения действующего законодательства (трудового, о страховых взносах, налогового законодательства и т.д.) в уполномоченные органы власти при сдаче отчетности и в иных предусмотренных применимым законодательством случаях (в рамках выполнения обязанностей, установленных законодательством для работодателя).
5.12. Работодатель вправе передавать персональные данные работников контрагентам работодателя, с которыми работодатель заключил гражданско-правовые договоры либо находится в переговорах по поводу такого заключения, в случаях, если коммуникация работника с таким контрагентом (его представителями) охватывается должностными обязанностями работника.
5.13. Работодатель вправе передавать следующие персональные данные работника контрагентам: фамилия, имя, отчество, адрес электронной почты, номер телефона («контакты»), должность, а также иные персональные данные работника, если это будет предусмотрено соответствующим согласием работника и будет производиться.
5.14. Согласие субъекта ПДн на передачу персональных данных считается полученным в т.ч. в случае, если субъект ПДн сам передал контакты контрагенту, зафиксировал необходимость (просьбу) передать свои контакты контрагенту и передал ее Оператору (в т.ч. его представителю, должностному лицу, в т.ч. в различных информационных системах работодателя).
5.15. Работодатель вправе передать персональные данные работника родственникам работника или членам его семьи только с письменного разрешения самого работника.
5.16. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
5.17. При принятии решений, затрагивающих интересы работника (субъекта ПДн), работодатель не имеет права основываться на персональных данных работника (субъекта ПДн), полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.
6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
6.1. Оператор имеет право:
- получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
- имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
6.2. Оператор обязан:
- предоставлять субъекту персональных данных (или его представителю) по его просьбе информацию, касающуюся обработки его персональных данных;
- организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
- публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
- принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
- исполнять иные обязанности, предусмотренные Законом о персональных данных.
7. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА/СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъекты ПДн имеют право на полную информацию о том, какие персональные данные работника обрабатывает Оператор и каким образом.
7.2. В целях защиты персональных данных, обрабатываемых у работодателя (Оператора), работник (субъект ПДн) имеет право:
- требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя (Оператора) персональных данных;
- получать свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.
- на сохранение и защиту своей личной жизни и семейной тайны.
- требовать извещения Работодателем (Оператором) всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника (субъекта ПДн), обо всех произведенных в них исключениях, исправлениях и дополнениях.
- Обжаловать в суде любые неправомерные действия или бездействия Работодателя (Оператора) при обработке и защите его персональных данных.
- Отозвать согласие на обработку своих персональных данных. Согласие субъектов ПД может быть отозвано путем письменного уведомления, направленного в адрес работодателя (Оператора) почтовым отправлением по юридическому адресу Общества, размещенного в свободном доступе в сети «Интернет» на сайте налоговой nalog.gov.ru, либо переданным на руки уполномоченному представителю работодателя (Оператора) с выдачей расписки о приемке. Работодатель (Оператор) предупреждает работника (Субъекта ПДн) о последствиях отзыва согласия на обработку персональных данных после получения уведомления об этом. При этом в случаях, предусмотренных действующим законодательством Российской Федерации, работодатель (Оператор) вправе продолжить обработку определенных персональных данных работника несмотря на отзыв согласия.
Пользователь как субъект ПДн может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. с пометкой «Отзыв согласия на обработку персональных данных».
7.3. Работник обязан передавать Обществу комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым Кодексом Российской Федерации, а также своевременно сообщать об изменениях своих персональных данных. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
Иные субъекты ПДн обязаны передавать Оператору комплекс достоверных, документированных персональных данных, состав которых необходим для обеспечения деятельности между субъектом ПДн и Оператором (при заключении договоров, подписании актов и пр.)
7.4. Работники обязаны своевременно в разумный срок (не превышающий 5 (пять) дней) информировать Работодателя об изменении ранее предоставленных персональных данных – т.е. уточнять свои персональные данные, в связи, в том числе, с обязанностью Работодателя отчитываться в государственные (муниципальные) органы власти в порядке, предусмотренном действующим законодательством Российской Федерации, а также во исполнение иных целей обработки персональных данных, предусмотренных Политикой.
8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТДЕЛЬНЫЕ ОСОБЕННОСТИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. В целях обеспечения сохранности и конфиденциальности персональных данных субъектов ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только уполномоченными лицами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
8.2. Обработка персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъекту персональных данных в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества, информировании субъектов ПДн, ведения деятельности Общества согласно Уставу.
8.3. Персональные данные хранятся как на бумажных носителях в помещении Общества, так и на электронных носителях. Для хранения бумажных носителей используются металлические несгораемые шкафы с замками, сейфы, обеспечивающие ограниченный доступ к этим данным.
8.4. Персональные данные, хранимые в электронном виде в локальной компьютерной сети, находятся в ограниченном доступе, защищены паролем, который устанавливается Директором Общества и сообщается индивидуально работникам, имеющим доступ к персональным данным.
8.5. Для обеспечения защиты персональных данных Оператором/Обществом, в частности, соблюдаются следующие меры:
- назначение ответственного лица в Обществе за обработку персональных данных;
- ограничение состава работников и лиц, функциональные обязанности которых требуют доступа к персональным данным сотрудников;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- оформление с работниками, имеющими доступ к персональным данным, обязательств о неразглашении и/или соглашений о неразглашении информации.
8.6. Все документы, содержащие персональные данные работников (иных субъектов ПДн), имеют ограниченный доступ.
8.7. Персональные данные субъектов ПДн являются конфиденциальными. Оператор и все лица, связанные с получением, обработкой и защитой персональных данных, обязаны не разглашать персональные данные субъектов ПДн.
8.8. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятия и иных субъектах ПДн.
8.9. Передача информации, содержащей сведения о персональных данных работников (иного субъекта ПДн) организации, по телефону, факсу, электронной почте без его письменного согласия запрещается.
8.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъектов персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
8.11. Срок хранение персональных данных на бумажных носителях совпадает со сроком хранения персональных данных на электронных носителях.
8.12. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Сроки хранения документов, содержащих персональные данные работника, определяются в соответствие со сроком действия договора с субъектом ПДн, сроком исковой давности, а также иными требованиями законодательства Российской Федерации.
8.13. Порядок оформления факта уничтожения персональных данных:
8.13.1. Уничтожение персональных данных осуществляется комиссией, созданной на основании приказа Работодателя/Оператора. В приказе указывается состав комиссии, цель создания комиссии, функции, сроки ее работы, какие персональные данные и на каких носителях подлежат уничтожению, способы уничтожения персональных данных и другие необходимые сведения.
8.13.2. Комиссия определяет и составляет перечень документов, подлежащих уничтожению, согласно установленным законодательством срокам.
8.13.3. Уничтожение может быть произведено: для бумажных носителей персональных данных - разрезание, сжигание, механическое уничтожение, проведение через шредер (измельчение документа до такой степени, что его содержание становится нечитаемым); для электронных носителей - стирание на устройстве гарантированного уничтожения информации, физическое уничтожение
8.13.4. Факт уничтожения персональных данных оформляется актом об уничтожении/прекращении обработки персональных данных.
8.13.5. В случае отсутствия возможности уничтожения персональных данных в течение определенного законодательством срока, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством Российской Федерации.
9. СРОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Оператор обрабатывает персональные данные субъектов персональных данных в установленные законодательством Российской Федерации сроки (для отдельных категорий персональных данных), в т.ч. с учетом Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» и Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236), либо до достижения целей обработки персональных данных.
9.2. Сроки хранения документов, содержащих персональные данные:
9.3. Срок хранения документов, не указанных в пункте 9.2, определяется в соответствии с законодательством Российской Федерации, рекомендациями федеральных органов государственной власти Российской Федерации
10. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. В случае решения о работе с иностранными компаниями и необходимости передавать необходимые для осуществления данной деятельности персональные данные, Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
10.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
10.3. Трансграничная передача ПДн осуществляется Оператором с соблюдением требований, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и международными договорами Российской Федерации
11. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
11.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
11.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
11.3. Запрос должен содержать: - номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; - сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором; - подпись субъекта персональных данных или его представителя.
11.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
11.5. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
11.6. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
11.7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.8. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
11.9. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
Пользователь, как субъект ПДн, в случае выявления неточностей, может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. с пометкой «Актуализация персональных данных».
11.10. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
11.11. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор: - в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом; - в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
11.12. Порядок уничтожения персональных данных Оператором.
11.13.Условия и сроки уничтожения персональных данных Оператором:
-достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
11.14. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если: - иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных; - оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами; - иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
11.15. Способы и порядок оформления уничтожения персональных данных, определены пунктом и подпунктами пункта 8.13 Настоящей Политики.
12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПОРЯДКА ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Работники и Общества и доверенные или назначенные лица Оператора, виновные в нарушении норм об обработке персональных данных субъектов ПДн, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации (в зависимости от характера и типа нарушения, его обстоятельств).
12.2. Каждый работник организации, получающий для работы персональные данные субъектов ПДн (имеющий доступ к персональным данным), несет личную ответственность за сохранность носителя и конфиденциальность таких данных.
12.3. Работодатель/Оператор несет ответственность за обработку персональных данных и за нарушения порядка такой обработки в порядке и в объемах, предусмотренных действующим законодательством Российской Федерации.
13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
13.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
13.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
13.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу http://синтех.рф/raznoe