Положение

об обработке и защите

персональных данных работников (и иных лиц)

1. Общие положения

1.1.         Настоящее Положение является локальным нормативным актом ООО «РосттехПродукт» (далее - Общество), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

1.2.         В Положении устанавливаются:
-цель, порядок и условия обработки персональных данных;
-категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
-положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.

1.3.         Все вопросы, связанные с обработкой, защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.4.         В положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.

2. Категории субъектов персональных данных

2.1.    К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Положением, относятся:
•         кандидаты для приема на работу в Общество;
•         работники Общества;
•         бывшие работники Общества;
•         члены семей работников Общества - в случаях, когда согласно законодательству сведения о них предоставляются работником;
•                иностранные граждане, привлекаемые на работу в Российской Федерации

•                представители клиентов - юридических лиц, представители партнеров – юридических лиц

•                иные лица, персональные данные которых Общество обязано обрабатывать в соответствии с трудовым и гражданским законодательством.

3. Цели обработки персональных данных, категории (перечни)

обрабатываемых персональных данных

3.1. Согласно Положения персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:
•            ведение кадрового учета, делопроизводства и бухгалтерского учета;
•            обработка персональных данных в соответствии с трудовым и гражданским законодательством;
•            заключение, исполнение, прекращение трудовых договоров, договоров гражданско –правового характера с гражданами, юридическими лицами, индивидуальными предпринимателями.
•            предоставление со стороны Общества установленных законодательством условий труда, гарантий и компенсаций;
•            заполнении и передаче в уполномоченные органы требуемых форм отчетности;
•            обеспечении личной безопасности работников и сохранности имущества Общества;
•            осуществлении контроля за количеством и качеством выполняемой работы.
3.2. В соответствии с целью, указанной в п. 3.1 Положения, в Обществе обрабатываются следующие персональные данные:
•         фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
•         пол;
•         дата (число, месяц, год) и место рождения;
•         фотографическое изображение;
•         сведения о гражданстве;
•         вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
•         страховой номер индивидуального лицевого счета (СНИЛС);
•         идентификационный номер налогоплательщика (ИНН);
•         адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
•         номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
•         реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
•         сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
•         сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
•         информация о владении иностранными языками;
•         сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
•         сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
•         сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
•         сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
•         сведения о доходах, обязательствах по исполнительным документам;
•         номера расчетного счета, банковской карты;
•         сведения о состоянии здоровья (для отдельных категорий работников);
•         иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Положения;
•         иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 3.1 Положения.

4. Порядок и условия обработки персональных данных

4.1.         Обработка персональных данных в Обществе выполняется следующими способами:
•         смешанная обработка персональных данных.
4.2.         Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных. Согласие оформляется отдельным документом и подписывается Обществом и субъектом персональных данных.
4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных.
4.5.2. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.

4.3.         Общество не осуществляет трансграничную передачу персональных данных.

4.4.         Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

4.5.         Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Обществе осуществляются посредством:
• внесения сведений в учетные формы на бумажных и электронных носителях;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях;
• внесения персональных данных в информационные системы персональных данных, в CRM-системе Общества
•     Информационный портал (сайт) Общества может содержать персональные данные с письменного разрешения субъекта персональных данных

4.6.          В Обществе используются следующие информационные системы:
• корпоративная электронная почта;
• система электронного документооборота;
• система поддержки рабочего места пользователя – CRM система, на момент утверждения настоящего положения в Обществе используется CRM система МЕГАПЛАН;
• информационный портал (веб-сайт Общества).
4.7. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
4.8.  Работник, персональные данные которого изменились, обязан уведомить об этом Общество не позднее одного рабочего дня с даты таких изменений в письменной форме с предоставлением подтверждающих документов.

5. Сроки обработки и хранения персональных данных

5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
•         при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
•         при достижении целей их обработки;
•         по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
•         при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
В иных случаях, установленных законодательством о персональных данных.
5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
5.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
В зависимости от документов срок хранения может варьироваться от 5 лет до бессрочного хранения, особенно для документов, имеющих архивное значение. Личные дела, законченные делопроизводством до 2003 года хранятся 75 лет, и 50 лет после. Трудовые договоры -50 лет.
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.5. Доступ к персональным данным работников могут иметь: руководитель Общества, работники отдела кадров, бухгалтерии и службы охраны труда Общества.

5.6. Сведения о персональных данных, а именно: фамилия имя отчество сотрудника, телефонный номер, должность сотрудника могут быть размещены в CRM-системе МЕГАПЛАН с письменного согласия сотрудника в целях идентификации сотрудника при выполнении трудовых обязанностей. Вся информация, размещенная в CRM-системе является конфиденциальной согласно положению о конфиденциальной информации Общества. Доступ к системе и данным ограничен для авторизованных пользователей.

5.7. Сведения о персональных данных, а именно: фамилия имя отчество сотрудника, телефонный номер, должность сотрудника могут быть размещены на сайте Общества с письменного согласия сотрудника в целях его идентификации контрагентами, клиентами Общества.

6. Порядок блокирования и уничтожения персональных данных

6.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
6.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.
6.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
6.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 6.4, 6.5, 6.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
• актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
• актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
6.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
6.8.5. Уничтожение персональных данных, не указанных в п. 6.8.3 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных.

7. Защита персональных данных. Процедуры,

направленные на предотвращение и выявление нарушений

законодательства, устранение последствий таких нарушений

7.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
7.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону, электронной почте, в связи с невозможностью идентификации запрашивающего персональные данные лица.
7.2. В Обществе приказом генерального директора назначается работник, ответственный за организацию обработки персональных данных, перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных; порядок передачи персональных данных в пределах Общества;
7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении (соглашение о неразглашении конфиденциальной информации).
7.4. Материальные носители персональных данных хранятся в закодированном сейфе, помещение Общества, в которых он размещается, оборудуется запирающими устройствами.
7.5. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
7.6. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
7.7. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
7.13. Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
7.13.1. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 7.13 Положения.
7.14. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

8. Ответственность за нарушение норм, регулирующих

обработку персональных данных

8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

Приложение 1

к Положению об обработке и защите

персональных данных работников (иных лиц)

Лист ознакомления с Положением

об обработке и защите персональных данных

работников (иных лиц)