ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

общества с ограниченной ответственностью «АМК-Троя» (далее – ООО «АМК-Троя»)

1. Общие положения.

1.1. Настоящим Положением определяется порядок обработки и защиты персональных данных работников в отношении всех персональных данных (далее – Персональные данные), которые общество с ограниченной ответственностью «АМК-Троя» (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско- правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).

1.2. Обработка персональных данных субъектов персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности, а также целях, связанных с выполнением работником трудовых функций, содействия работникам в трудоустройстве, получении образования и продвижении по службе, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2. Основные понятия. Состав персональных данных.

2.1. Для целей настоящего Положения используются следующие основные понятия:

— персональные данные − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном действующим законодательством РФ (далее − персональные данные, разрешенные для распространения);

— оператор − государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав

1

персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

— обработка персональных данных работника − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— распространение персональных данных − действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;

— предоставление персональных данных − действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;

— блокирование персональных данных − временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных − действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;

— обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.

2.2. Если иное не установлено Трудовым кодексом РФ, другими федеральными законами, при заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:

— паспорт или иной документ, удостоверяющий личность;
— трудовую книжку и (или) сведения о трудовой деятельности;
— документ, подтверждающий регистрацию в системе индивидуального

(персонифицированного) учета, в том числе в форме электронного документа;
— документы воинского учета − для военнообязанных и лиц, подлежащих

призыву на военную службу;
— документ об образовании и (или) квалификации или наличии

специальных знаний − при поступлении на работу, требующую специальных знаний или специальной подготовки;

— дополнительные документы − в отдельных случаях, предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

2.3. Старший инспектор по кадрам создает и хранит следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

2.3.1. Документы, содержащие персональные данные работников:

— комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

— комплекс материалов по анкетированию, тестированию, проведению 2

собеседований с кандидатом на должность;
— подлинники и копии приказов (распоряжений) по кадрам;
— личные дела, трудовые книжки, сведения о трудовой деятельности

работников;
— дела, содержащие материалы аттестаций работников;
— дела, содержащие материалы внутренних расследований;
— справочно-информационный банк данных по персоналу (картотеки,

журналы);
— подлинники и копии отчетных, аналитических и справочных материалов,

передаваемых руководству Общества, руководителям структурных подразделений;

— копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

2.3.2. Документация по организации работы:
— должностные инструкции работников;
— приказы, распоряжения, указания руководства Общества;
— документы учета и отчетности по вопросам кадровой работы.

3. Обработка персональных данных работников.

3.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.

3.2.1. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона от 27.07.2006 No 152-ФЗ, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.

3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

3.4. Обработка персональных данных работников работодателем возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством РФ.

3.5. Письменное согласие работника на обработку своих персональных 3

данных должно включать в себя, в частности, сведения, указанные в п. п. 1-9 ч. 4 ст. 9 Федерального закона от 27.07.2006 No 152-ФЗ.

3.6. Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных в соответствии с действующим законодательством.

3.6.1. Письменное согласие на обработку персональных данных, разрешенных для распространения, работник предоставляет работодателю лично либо в форме электронного документа, подписанного электронной подписью с использованием информационной системы Роскомнадзора.

3.6.2. Работодатель обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

3.6.3. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления работодателю требования, указанного в п. 5.2.5 настоящего Положения.

3.7. Работник Общества представляет старшему инспектору по кадрам достоверные сведения о себе. Старший инспектор по кадрам проверяет достоверность сведений.

3.8. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать, в частности, следующие общие требования:

3.8.1. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.8.2. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.8.3. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

3.8.4. Работники и их представители должны быть ознакомлены под подпись с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.8.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

4. Передача персональных данных.

4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные работника третьей стороне без 4

письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом РФ или иными федеральными законами.

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное правило не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

4.1.4. Осуществлять передачу персональных данных работников в пределах Общества в соответствии с настоящим Положением, с которым работники должны быть ознакомлены под подпись.

4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

4.2. Установленные работником запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.

4.3. Персональные данные работников обрабатываются и хранятся старшим инспектором по кадрам.

4.4. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

4.5. При получении персональных данных не от работника (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ) работодатель до начала обработки таких персональных

5

данных обязан предоставить работнику следующую информацию:
— наименование (фамилия, имя, отчество) и адрес оператора или его

представителя;
— цель обработки персональных данных и ее правовое основание;
— предполагаемые пользователи персональных данных;
— установленные действующим законодательством права субъекта

персональных данных;
— источник получения персональных данных.

5. Доступ к персональным данным работников.

5.1. Право доступа к персональным данным работников имеют: — руководитель Общества;
— старший инспектор по кадрам;
— работники бухгалтерии.

5.2. Работник Общества, в частности, имеет право:

5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.

5.2.2. Требовать от работодателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.2.3. Получать от работодателя сведения о наименовании и месте нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.

5.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2.5. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.

5.2.6. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.

6

6. Система защиты персональных данных.

6.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (далее − СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

6.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

6.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

6.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

6.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:

6.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных.

6.5.2. Определение актуальных угроз безопасности персональных данных при их обработке и разработка мер и мероприятий по защите персональных данных.

6.5.3. Разработка политики в отношении обработки персональных данных.

6.5.4. Установление правил доступа к персональным данным, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными.

6.5.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

6.5.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

6.5.7. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

6.5.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

6.5.9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

6.5.10. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

7

7. Ответственность за нарушение норм, регулирующих обработку персональных данных.

7.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.