Продолжая использовать этот сайт, вы даете согласие на обработку файлов cookie

Принимаю

Положение об обработке и защите персональных данных в Обществе с ограниченной ответственности «ПРАГМАТИК СЕЙЛС»

1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее по тексту: «Положение») в Обществе с ограниченной ответственности «ПРАГМАТИК СЕЙЛС» ОГРН 1 147 746 068 580, ИНН 7 718 965 632, КПП 771 801 001, далее по тексту: ООО «ПРАГМАТИК СЕЙЛС», «Оператор») определяет цели, содержание и порядок обработки персональных данных, а также меры, направленные на защиту персональных данных.

1.2. Настоящее Положение определяет политику ООО «ПРАГМАТИК СЕЙЛС», как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных работников ООО «ПРАГМАТИК СЕЙЛС» и других граждан Российской Федерации, иностранных граждан, лиц без гражданства.

1.3. Положение разработано в соответствии со следующими нормативными правовыми и локальными актами, а также прочими обязательствами:

  • Конституция РФ,
  • Гражданский кодекс РФ,
  • Семейный кодекс РФ,
  • Трудовой кодекс РФ,
  • Налоговый кодекс РФ,
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
  • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
  • Устав ООО «ПРАГМАТИК СЕЙЛС»

2. Условия и порядок обработки персональных данных

2.1. Субъектами персональных данных являются:

2.1.1. Сотрудники Оператора;

2.1.2. Должностные лица, контактные лица, являющиеся сотрудниками юридических лиц — контрагентов Оператора по гражданско-правовым договорам / соглашениям (далее по тексту: «должностные лица контрагентов Оператора»);

2.1.3. Физические лица — эксперты, пользователи программных продуктов Оператора, персональные данные которых размещаются на платформах Оператора ими самостоятельно либо предоставляются контрагентами Оператора в соответствии с условиями заключенных договоров / соглашений (далее по тексту: «клиенты Оператора»);

2.1.4. Физические лица — контрагенты Оператора, сотрудничество с которыми осуществляется на основании гражданско-правовых договоров (далее по тексту: «исполнители по договорам ГПХ Оператора»).

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.3. Персональные данные субъектов персональных данных, указанных в пункте 2.1.1 настоящего Положения, обрабатываются в целях: осуществления уставной и трудовой деятельности Оператора, принятия Оператором решения о приеме либо отказе в приеме на работу кандидата на вакантную должность; соблюдения трудового законодательства и иных актов, содержащих нормы трудового права, включая учет труда и его оплаты, принятие управленческих и кадровых решений в отношении сотрудников, контроля над трудовой дисциплиной; осуществления расчета и выплаты сотрудникам причитающейся им заработной платы, компенсации и премии, осуществления пенсионных и налоговых отчислений, а также расчета с подотчетными лицами; оформления банковских карт зарплатного проекта; выполнения принятых на себя социальных обязательств в отношении сотрудников в виде предоставления им возможности участвовать в программах добровольного медицинского страхования, страхования жизни, страхования от несчастных случаев, страхования на случаи возникновения критических заболеваний; организация поездок в командировки; ведения воинского учета; оформления электронной подписи; предоставления корпоративной сотовой связи; исполнения требовании трудового законодательства Российской Федерации (заполнение карты Т2), оформления льгот; осуществления информирования о состоянии работника; исполнения обязательств, появившихся при заключении договорных отношений; осуществления публикации информации на сайте компании; предоставления ответа на запрос физического лица.

2.4. Персональные данные субъектов персональных данных, указанных в пункте 2.1.2 настоящего Положения, обрабатываются в целях уставной деятельности Оператора, осуществления процедур, связанных заключением, исполнением и прекращением гражданско-правовых обязательств Оператора с контрагентами Оператора — юридическими лицами, являющимися работодателями указанных субъектов персональных данных.

2.5. Персональные данные субъектов персональных данных, указанных в пункте 2.1.3 настоящего Положения, обрабатываются в целях уставной деятельности Оператора, развития, продвижения и функционирования программных продуктов Оператора, в том числе, для регистрации и заполнения профиля физических лиц на платформе IN. TOP (далее по тексту — платформа) в качестве экспертов (далее по тексту — эксперты), осуществления подбора экспертов на бизнес-задачи и проекты компаний-клиентов, проведения контрольных процедур согласно политикам и запросам компаний-клиентов для заключения контрактов и/или трудового найма экспертов, сопровождения процессов заключения и подписания простой электронной подписью договоров и финансовых первичных документов (актов, отчетов и т. д.) между экспертами и компаниями-клиентами, размещения заказов на услуги экспертов, совершения оплат услуг экспертов заказчиками, хранения договоров, актов и иных документов экспертов и компаний в электронном виде согласно требованиям законодательства РФ и запросам от компаний-клиентов.

2.6. Персональные данные субъектов персональных данных, указанных в пункте 2.1.4 настоящего Положения, обрабатываются в целях уставной деятельности Оператора, осуществления процедур, связанных заключением, исполнением и прекращением гражданско-правовых обязательств Оператора с указанными субъектами персональных данных.

2.7. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

2.8. В порядке ч. 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных»

3. Обрабатываемые персональные данные

3.1. Под обработкой персональных данных Оператором понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

3.2. В целях, определенных в пунктах 2.3 настоящего Положения, обрабатываются следующие категории персональных данных:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • паспортные данные: серия и номер документа, орган, выдавший документ, дата выдачи документа;
  • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
  • пол;
  • гражданство, документ подтверждающий право пребывания в РФ;
  • семейное положение, реквизиты свидетельства о государственной регистрации актов гражданского состояния;
  • социальное положение;
  • имущественное положение;
  • доходы;
  • фотографии и видео записи сотрудника;
  • номер контактного телефона, адрес электронной почты, сведения о других способах связи;
  • сведения о составе семьи, наличии детей и иждивенцев;
  • сведения о воинском учете, сведения о службе в вооруженных силах (период, звание);
  • сведения о страховом свидетельстве государственного пенсионного страхования;
  • сведения об обязательном медицинском страховании;
  • сведения об идентификационном номере налогоплательщика;
  • сведения об образовании, квалификации, профессии или наличии специальных знаний;
  • сведения о предыдущих местах работы, опыте работы и занимаемых должностях, профессиональной деятельности;
  • специальность; место работы, дата приёма (выхода) на работу, стаж работы, режим (график работы);
  • информация о пройденном обучении (тема, результаты тестирования), владение иностранными языками;
  • наличие или отсутствие инвалидности;
  • банковские реквизиты;
  • сведения о состоянии здоровья;
  • подразделение, табельный номер;
  • водительское удостоверение (серия, номер, дата выдачи, стаж вождения);
  • сведения о близких родственниках (ФИО, год рождения);
  • сведения о заработной плате;
  • технические данные о соединении с сайтом;
  • данные cookies;
  • сведения учёта действий на сайте;
  • иные персональные данные, обработка которых необходима для реализации целей, предусмотренных пунктом 2.3 настоящего Положения.

3.3. В целях, определенных в пунктах 2.4 настоящего Положения, обрабатываются следующие категории персональных данных:

  • фамилия, имя, отчество;
  • место работы, должность;
  • номер контактного телефона, адрес электронной почты, сведения о других способах связи.
  • Дополнительно к указанным категориям персональных данных при наличии необходимости обрабатываются следующие персональные данные:
  • дата и место рождения;
  • документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан);
  • идентификационный номер налогоплательщика;
  • адрес регистрации по месту жительства;
  • сведения об образовании, о профессиональной переподготовке и (или) повышении квалификации, ученой степени, ученом звании;
  • сведения о владении иностранными языками;
  • сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети «Интернет», на которых размещалась общедоступная информация, а также данные, позволяющие их идентифицировать;
  • технические данные о соединении с сайтом;
  • данные cookies;
  • сведения учёта действий на сайте;
  • иные персональные данные, обработка которых необходима для реализации целей, предусмотренных пунктом 2.4 настоящего Положения.

3.4. В целях, определенных в пунктах 2.5 настоящего Положения, обрабатываются следующие категории персональных данных:

  • биометрические персональные данные;
  • фамилия, имя, отчество;
  • дата и рождения;
  • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
  • семейное положение, реквизиты свидетельства о государственной регистрации актов гражданского состояния;
  • социальное положение;
  • имущественное положение;
  • доходы;
  • идентификационный номер налогоплательщика;
  • реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
  • документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан);
  • пол;
  • гражданство;
  • номер контактного телефона, адрес электронной почты, сведения о других способах связи контактные телефоны;
  • фотографии физического лица;
  • данные пенсионных и медицинских страховых свидетельств;
  • минимальный и максимальный ожидаемый доход в час;
  • форма присутствия в офисе (очно, удаленно, микс, нет);
  • готовность к проживанию на территории страны и города работодателя;
  • готовность к командировкам по заданиям работодателя;
  • ссылки на персональные страницы соцсетей, сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети «Интернет», на которых размещалась общедоступная информация, а также данные, позволяющие их идентифицировать;
  • статус физического лица (самозанятый, индивидуальный предприниматель, физическое лицо);
  • данные банковских карт, банковские реквизиты расчетных счетов;
  • сведения о трудовой деятельности;
  • сведения об образовании, профессиональной переподготовке и (или) повышении квалификации, опыте работы, опыте проектной деятельности, научных степенях, научных работах;
  • данные о званиях и наградах, патентах, публикациях, лицензиях и разрешениях, участии в ассоциациях, блогах и личных сайтах, публичных выступлениях;
  • отношение к воинской обязанности, сведения о воинском учете, реквизиты документа о воинском учете (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • рекомендации от других участников платформы;
  • ссылки на рекомендации из внешних источников;
  • технические данные о соединении с сайтом;
  • данные cookies;
  • сведения учёта действий на сайте;
  • иные персональные данные, обработка которых необходима для реализации целей, предусмотренных пунктом 2.5 настоящего Положения.

3.5. В целях, определенных в пунктах 2.6 настоящего Положения, обрабатываются следующие категории персональных данных:

  • фамилия, имя, отчество;
  • дата и рождения;
  • адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
  • семейное положение, реквизиты свидетельства о государственной регистрации актов гражданского состояния;
  • идентификационный номер налогоплательщика;
  • реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
  • документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан);
  • гражданство;
  • номер контактного телефона, адрес электронной почты, сведения о других способах связи контактные телефоны;
  • фотографии физического лица;
  • данные пенсионного свидетельства;
  • минимальный и максимальный ожидаемый доход в час;
  • статус физического лица (самозанятый, индивидуальный предприниматель, физическое лицо);
  • данные банковских карт, банковские реквизиты расчетных счетов;
  • сведения о трудовой деятельности;
  • сведения об образовании, профессиональной переподготовке и (или) повышении квалификации, опыте работы, опыте проектной деятельности, научных степенях, научных работах;
  • данные о званиях и наградах, патентах, публикациях, лицензиях и разрешениях, участии в ассоциациях, блогах и личных сайтах, публичных выступлениях;
  • рекомендации от других участников платформы;
  • ссылки на рекомендации из внешних источников;
  • технические данные о соединении с сайтом;
  • данные cookies;
  • сведения учёта действий на сайте;
  • иные персональные данные, обработка которых необходима для реализации целей, предусмотренных пунктом 2.6 настоящего Положения.

3.6. Субъект персональных данных обязан предоставлять точную и достоверную информацию и своевременно извещать Оператора об изменении своих персональных данных.

4. Обработка персональных данных

4.1. Общий порядок обработки

4.1.1. Сотрудниками Оператора обработка персональных данных осуществляется в объеме, необходимом для исполнения должностных обязанностей.

4.1.2. К обработке персональных данных в соответствии с пунктом 4.1.1 настоящего Положения допускаются лица, прошедшие процедуру допуска, которая включает в себя:
§ ознакомление с локальными нормативными актами Оператора, регламентирующими порядок и процедуры работы с персональными данными;
§ предоставление (подписание) сотрудником обязательства о неразглашении персональных данных и прекращении, в случае расторжения с ним трудового договора, обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (Приложение № 1 и Приложение № 2).
Иным сотрудникам Оператора обработка персональных данных, собранных в соответствии с настоящим Положением, не поручается.

4.1.3. Перечень должностей сотрудников Оператора, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, определяется приказом Оператора.

4.1.4. Обработка персональных данных субъектов персональных данных, указанных в пунктах 2.1.1 — 2.1.5 настоящего Положения, осуществляется в соответствии с положениями статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» с их согласия, оформленного по форме Приложения № 3 и/или в порядке и по форме, предусмотренной Оператором при регистрации на платформе.

4.1.5. Исполнители по договорам ГПХ Оператора могут привлекаться к обработке персональных данных при исполнении ими договорных обязательств перед Оператором.

4.1.6. К обработке персональных данных в соответствии с пунктом 4.1.5 настоящего Положения допускаются лица, прошедшие процедуру допуска, которая включает в себя:
§ заключение гражданско-правового договора с Оператором;
§ ознакомление с локальными нормативными актами Оператора, регламентирующими порядок и процедуры работы с персональными данными;
§ предоставление (подписание) обязательства о неразглашении персональных данных и прекращении, в случае расторжения с ним трудового договора, обработки персональных данных, ставших известными ему в связи с исполнением гражданско-правового договора (Приложение № 1 и Приложение № 2);
§ получение индивидуальных атрибутов права доступа в информационные системы, содержащие персональные данные.

4.2. Получение (сбор) персональных данных

4.2.1. Сбор персональных данных осуществляется путем получения их непосредственно от субъекта персональных данных либо по его поручению третьим лицом.

4.2.2. Запрещается обрабатывать персональные данные, не предусмотренные настоящим Положением, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, за исключением случаев, установленных частью 2 статьи 10 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

4.2.3. Сбор, запись, систематизация, накопление и уточнение персональных данных осуществляются путем:
§ получения оригиналов необходимых документов;
§ копирования оригиналов документов;
§ получения отсканированных копий оригиналов необходимых документов
§ внесения сведений в учетные формы (на бумажных и электронных носителях);
§ формирования персональных данных в ходе их обработки;
§ внесения персональных данных в информационные системы Оператора.

4.2.4. Получение письменных согласий на обработку персональных данных в случаях, когда в соответствии с федеральными законами для обработки персональных данных требуется письменное согласие, осуществляется уполномоченным сотрудником Оператора либо клиента Оператора.

4.2.5. Письменные согласия сотрудников Оператора хранятся в их личном деле.

4.3. Обработка персональных данных без использования средств автоматизации

4.3.1. При обработке персональных данных, осуществляемой без использования средств автоматизации, ответственным лицом Оператора определяются места хранения персональных данных (материальных носителей) для исключения несанкционированного доступа к ним.

4.3.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).

4.3.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
§ типовая форма (бланк) или связанные с ней документы (инструкции по ее заполнению, карточки, реестры и т. п.) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;
§ типовая форма (бланк) должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
§ типовая форма (бланк) должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
§ типовая форма (бланк) не должна допускать фиксацию на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

4.3.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, предпринимаются меры по обеспечению раздельной обработки персональных данных, в частности:
§ при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
§ при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

4.3.5. Данные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

4.3.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

4.4. Порядок обработки персональных данных в информационных
системах персональных данных

4.4.1. Лицам, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных, предоставляется пароль для доступа к соответствующей информационной системе персональных данных. Доступ к прикладным программным подсистемам предоставляется указанным лицам в соответствии с их должностными регламентами (инструкциями).

4.4.2. Информация может вноситься как в ручном, так и в автоматическом режимах.

4.4.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

4.5. Порядок работы с обезличенными данными

4.5.1. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

4.5.2. Обезличивание персональных данных может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных.

4.5.3. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

4.5.4. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.

4.5.5. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

4.5.6. Перечень лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных устанавливается приказами Оператора.

4.6. Передача персональных данных

4.6.1. Передача (распространение, предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляются в случаях и порядке, предусмотренных законодательством РФ.

4.6.2. При передаче персональных данных третьим лицам обеспечиваются все необходимые меры по защите передаваемой информации в соответствии с требованиями законодательства Российской Федерации в области защиты персональных данных.

5. Сроки обработки, хранения персональных данных и порядок уничтожения персональных данных

5.1. Обработка персональных данных прекращается в следующих случаях:
§ по достижении целей обработки персональных данных или при утрате необходимости в их достижении;
§ по истечении срока обработки персональных данных, установленного при сборе персональных данных;
§ по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
§ при невозможности устранения допущенных нарушений при обработке персональных данных;
§ при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
§ при отзыве субъектом персональных данных согласия, составленного им в произвольной форме, но надлежащим образом доведенного до Оператора, если в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» обработка персональных данных допускается только с его согласия.

5.2. Обработка персональных данных прекращается в сроки, установленные законодательством Российской Федерации.

5.3. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.4. Персональные данные хранятся в электронном виде и на бумажных носителях. В электронном виде персональные данные хранятся в информационных системах персональных данных, а также в архивных копиях баз данных информационных систем персональных данных. В бумажном виде персональные данные хранятся в составе документов и их копий, содержащих информацию о субъектах персональных данных.

5.5. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.

5.6. Персональные данные субъектов персональных данных на бумажных носителях хранятся в течение сроков их хранения, установленных федеральным законодательством, иными нормативными правовыми актами РФ, а также Перечнемтиповых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 года № 236, с последующим формированием и передачей на постоянное хранение в Государственный архив РФ в случаях и порядке, предусмотренных законодательством РФ.
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.7. Правила уничтожения носителей, содержащих персональные данные

Уничтожение носителей, содержащих персональные данные субъектов персональных данных, должно соответствовать следующим правилам:

  • быть конфиденциальным, исключая возможность последующего восстановления;
  • оформляться юридически, в частности, актом о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению и актом об уничтожении носителей, содержащих персональные данные субъектов персональных данных;
  • должно проводиться комиссией по уничтожению персональных данных;
  • уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению в связи с истечением срока хранения, достижением цели обработки указанных персональных данных либо утратой необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.

5.8. Порядок уничтожения носителей, содержащих персональные данные

5.8.1. Персональные данные субъектов персональных данных хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по истечении срока хранения, достижении целей обработки или в случае утраты необходимости в их достижении.

5.8.2. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются в специально отведенном для этих целей помещении комиссией по уничтожению персональных данных, утвержденной приказом директора Общества (далее — Комиссия).

5.8.3. Носители, содержащие персональные данные субъектов персональных данных, уничтожаются Комиссией в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных либо утраты необходимости в их достижении, а также в случае, если истек срок их хранения.

5.8.4. Комиссия производит отбор бумажных носителей персональных данных, подлежащих уничтожению, с указанием оснований для уничтожения.

5.8.5. На все отобранные к уничтожению документы составляется акт о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению.

5.8.6. В актах о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению и актах об уничтожении носителей, содержащих персональные данные субъектов персональных данных, исправления не допускаются.

5.8.7. Комиссия проверяет наличие всех документов, включенных в акт о выделении носителей, содержащих персональные данные субъектов персональных данных, к уничтожению.

5.8.8. По окончании сверки акт о выделении документов, содержащих персональные данные субъектов персональных данных, к уничтожению подписывается всеми членами Комиссии и утверждается генеральным директором Оператора.

5.8.9. Носители, содержащие персональные данные субъектов персональных данных, отобранные для уничтожения и включенные в акт, после проверки их Комиссией передаются сотруднику, ответственному за делопроизводство.

5.8.10. Уничтожение носителей, содержащих персональные данные субъектов персональных данных, производится после утверждения акта в присутствии всех членов Комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте носителей.

5.8.11. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

5.8.12. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:

  • уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шредера (уничтожителя документов, либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры);
  • уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
  • подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
  • в случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.

5.8.13. Уничтожение персональных данных с Платформы IN. TOP: при запросе субъекта персональных данных на удаление личный кабинет на Платформе IN. TOP помечается как удаляемый и перестает быть доступен субъекту персональных данных, персональные данные подлежащие хранению в соответствии в случаях, порядке и объеме, предусмотренных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» подвергаются обезличиванию.

6. Обеспечение безопасности персональных данных

6.1. Меры по обеспечению безопасности

6.1.1. Меры по обеспечению информационной безопасности персональных данных при их обработке распространяются как на персональные данные, зафиксированные на бумажных носителях, так и на персональные данные в электронном виде.

6.1.2. Организацию защиты персональных данных, в том числе находящиеся в информационных системах, обеспечивают ответственные сотрудники Оператора, утвержденные приказом Оператора.

6.1.3. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается в установленном действующим законодательством РФ в сфере персональных данных порядке путем выполнения комплекса организационных и технических мер, обеспечивающих их безопасность.

К указанным мерам относятся:
§ определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Оператора;
§ применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Оператора, необходимых для выполнения требований к защите персональных данных;
§ применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
§ учет всех информационных систем, машинных носителей, а также архивных копий персональных данных;
§ обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
§ восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
§ контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

6.2. Порядок доступа лиц в помещения, в которых ведется обработка персональных данных

6.2.1. Обеспечение безопасности персональных данных сотрудников Оператора, содержащихся в бумажном виде, от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается соблюдением правил доступа в помещения (при их необходимости), где обрабатываются персональные данные в информационных системах персональных данных и без использования средств автоматизации.

6.2.2. Для помещений (при их необходимости), в которых обрабатываются указанные в п. 6.2.1 Положения персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

6.2.3. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

6.2.4. Внутренний контроль за соблюдением порядка доступа в помещения (при их необходимости), в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных.

7. Рассмотрение запросов субъектов персональных данных
или их представителей

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

§ подтверждение факта обработки персональных данных;
§ правовые основания и цели обработки персональных данных;
§ применяемые способы обработки персональных данных;
§ сведения о лицах, имевших доступ к персональным данным;
§ обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ в области персональных данных;
§ сроки обработки персональных данных, в том числе сроки их хранения;
§ порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ в области персональных данных;
§ иные сведения, предусмотренные законодательством РФ в области персональных данных.

7.2. Информация, касающаяся обработки персональных данных, предоставляется в доступной форме, в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

7.3. Информация, касающаяся обработки персональных данных, предоставляется субъектам персональных данных или их представителям по письменному запросу, который должен содержать следующие данные:

§ номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование выдавшего органа;
§ сведения, подтверждающие факт обработки персональных данных Оператором, подпись заинтересованного субъекта персональных данных или его представителя.
К запросу, направленному представителем субъекта персональных данных, должен прилагаться документ (надлежащим образом заверенная копия), подтверждающий его полномочия.

7.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

7.5. В случае если информация, касающаяся обработки персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством РФ в области персональных данных.

7.6. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения информации, касающейся обработки персональных данных, а также для ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

7.7. Субъекту персональных данных может быть отказано в выполнении повторного запроса, не соответствующего установленным требованиям. Такой отказ должен быть мотивированным.

7.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с пунктом 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

7.9. В случае отказа в предоставлении информации дается мотивированный ответ, содержащий ссылку на положение законодательства Российской Федерации, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения заинтересованного субъекта персональных данных или его представителя, либо с даты получения запроса.

8. Права и обязанности лиц, ответственных за организацию обработки персональных данных

8.1. Ответственные за организацию обработки персональных данных Оператора назначается приказом генеральным директора Оператора.
Ответственные за организацию обработки персональных данных в своей работе руководствуются законодательством РФ в области персональных данных и настоящим Положением.

8.2. Ответственные за организацию обработки персональных данных вправе:

8.2.1. Требовать от сотрудников Оператора, обрабатывающих персональные данные, знание и выполнение требований положений законодательства РФ о персональных данных и локальных актов Оператора по вопросам обработки и защиты персональных данных.

8.2.2. Иметь доступ к информации, касающейся обработки персональных данных, включающей цели обработки персональных данных, перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, правовые основания обработки персональных данных, перечень действий с персональными данными, общее описание используемых способов обработки персональных данных, дату начала обработки персональных данных, срок или условия прекращения обработки персональных данных, сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных.

8.2.3. Требовать от сотрудников Оператора прекращения обработки персональных данных в случае нарушения требований по защите персональных данных.

8.2.4. Участвовать в анализе ситуаций, касающихся нарушений требований к защите персональных данных и фактов несанкционированного доступа к персональным данным.

8.3. Ответственные за организацию обработки персональных данных обязаны:

8.3.1. Осуществлять принятие организационных мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.3.2. Осуществлять текущий контроль за соблюдением сотрудниками Оператора требований законодательства РФ в области персональных данных, в том числе требований к защите персональных данных.

8.3.3. Доводить до сведения сотрудников Оператора положения законодательства РФ в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

8.3.4. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов.

8.3.5. В случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

8.4. Ответственный за организацию обработки персональных данных в дополнение к указанному в пункте 8.3 настоящего Положения обязан:

8.4.1. Организовывать принятие правовых и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.4.2. Организовывать и осуществлять внутренний контроль за соблюдением сотрудниками Оператора требований законодательства РФ в области персональных данных, в том числе требований к защите персональных данных, в соответствии с разделом 9 настоящего Положения.

8.5. Ответственные за организацию обработки персональных данных в соответствии с законодательством РФ в области персональных данных несут ответственность за надлежащее выполнение возложенных на них функций.

9. Внутренний контроль выполнения требований к обработке
и защите персональных данных

9.1. Внутренний контроль соответствия обработки персональных данных в подразделениях Оператора требованиям к защите персональных данных (далее — внутренний контроль) проводится в целях выявления и предотвращения нарушений законодательства РФ в области персональных данных.

9.2. Внутренний контроль подразделяется на плановый и внеплановый.

9.3. Плановый контроль условий обработки персональных данных проводится не реже 1 раза в год

9.4. В ежегодном плане проверок по каждой проверке устанавливаются объект внутреннего контроля, проверяемый период, срок проведения проверки, члены комиссии.

9.5. Внеплановый контроль проводится по решению заместителя генерального директора Оператора, на основании поступившего письменного или устного обращения от субъекта персональных данных о нарушении законодательства в области персональных данных. Внеплановый внутренний контроль должен быть завершен не позднее 30 рабочих дней со дня принятия решения о его проведении. О результатах внепланового внутреннего контроля информируется заинтересованное лицо.

9.6. Контроль осуществляется непосредственно на месте обработки персональных данных путем опроса либо при необходимости путем осмотра рабочих мест лиц, участвующих в процессе обработки персональных данных.

9.7. Результаты внутреннего контроля оформляются в виде справки, подписываемой членами комиссии, проводимой проверку.

9.8. При выявлении в ходе внутреннего контроля нарушений в справке отражается перечень мероприятий по устранению нарушений и срок их исполнения.

9.9. В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля лицам, ответственным за проведение внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.

10. Ответственность за нарушение норм, регулирующих обработку персональных данных

10.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

10.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.