Политика конфиденциальности
1. Общие положения
1.1. Индивидуальный предприниматель Семенчук Иван Викторович в лице Семенчука Ивана Викторовича, действующего на основании ОГРНИП 304027610600015 (далее — Организация) для обеспечения сохранности и конфиденциальности персональных данных работников и клиентов Организации в соответствии с требованиями действующего законодательства Российской Федерации, а также в целях регламентации порядка работы с персональными данными работников и клиентов Организации.
1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», законодательными актами Российской Федерации.
1.3. Настоящее Положение обязательно для соблюдения всеми работниками Организации.
1.4. Настоящее Положение вступает в действие с момента утверждения его приказом руководителя Организации и действует до утверждения нового положения.
1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом руководителя Организации.
1.6. Основные понятия, используемые в настоящем Положении:
1.6.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.6.2. Оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.6.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования.
1.6.4. Субъекты персональных данных: работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; клиенты и контрагенты оператора (физические лица); представители/работники клиентов и контрагентов оператора (юридических лиц).
1.6.5. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».
2. Критерии отнесения информации к персональным данным
2.1. К персональным данным относятся любая информация о работнике и клиенте, в том числе Ф.И.О., дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов.
2.2. Достоверность персональных данных определяется исходя из их изначального размещения в таких документах, как: — паспорт или иной источник, удостоверяющий личность; — трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев, когда Организация является для работника первым работодателем); — свидетельство пенсионного страхования; — военный билет и иные документы воинского учета; — диплом об образовании; — свидетельство о наличии ИНН. Отдельным приказом руководителя Организации могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.
2.3. Отдел кадров, юридическая служба и/или отдел по работе с клиентами обеспечивают проверку вышеперечисленных документов, содержащих персональные данные, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.
3. Операции с персональными данными
3.1. Настоящее Положение устанавливает, что Организацияосуществляет следующие операции с персональными данными работников: — получение (сбор); — обработка; — передача; — блокирование; — хранение; — ликвидация.
3.2. Под получением (сбором) персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах.
3.3. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом Организации. Цели обработки персональных данных: Оформление трудовых отношений, ведение кадрового и бухгалтерского учёта, оформление гражданско-правовых отношений для организации.
3.4. Под передачей персональных данных понимается операция: — по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют работники Организации либо третьи лица; — по размещению персональных данных в источниках внутрикорпоративного документооборота; — по опубликованию в интересах Организации персональных данных о работнике в СМИ или на серверах Интернета в соответствии с нормами законодательства Российской Федерации.
3.5. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах Организации, в случаях, предусмотренных положениями локальных правовых актов Организации и законодательства Российской Федерации.
3.6. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах Организации.
3.7. Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем Организации, а также обеспечению невозможности их восстановления. Операции с персональными данными клиентов:
3.8. Оператор обрабатывает персональные данные клиентов в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ, (далее — клиентов).
3.9. Оператор обрабатывает персональные данные клиентов в целях соблюдения норм законодательства РФ, а также с целью: — заключения и исполнения договора купли продажи услуг, оказания услуг, работ
3.10. Осуществлять виды деятельности, предусмотренные учредительными документами. Оператор обрабатывает персональные данные клиентов с их согласия, предоставляемого на срок действия заключенных с ними договоров. В случаях, предусмотренных ФЗ «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий, либо если используется интернет сайт, то согласие клиента (посетителя) сайта берется оператором посредством заполнения формы на сайте.
3.11. Оператор обрабатывает персональные данные клиентов в течение сроков действия заключенных с ними договоров, либо срока оказания услуги. Оператор может обрабатывать персональные данные клиентов после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.
3.12. Оператор обрабатывает следующие персональные данные работников: — фамилия, имя, отчество; — пол, возраст; — сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации; — семейное положение, наличие детей, состав семьи, родственные связи; — факты биографии и предыдущая трудовая деятельность (в том числе место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.); — финансовое положение, сведения о заработной плате; — паспортные данные; — сведения о воинском учете; — сведения о социальных льготах; — специальность; — занимаемая должность; — размер заработной платы; — наличие судимостей; — содержание трудового договора; — подлинники и копии приказов по личному составу; — личные дела, трудовые книжки и сведения о трудовой деятельности; — основания к приказам по личному составу; — дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; — копии отчетов, направляемых в органы статистики; — сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей; — фотографии и иные сведения, относящиеся к персональным данным Работник и клиента; — принадлежность лица к конкретной нации, этнической группе, расе; — религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.); — деловые и иные личные качества, которые носят оценочный характер; — адрес места жительства и фактического проживания; — телефон — дата рождения — адрес электронной почты.
4. Порядок осуществления операций с персональными данными
4.1. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от работника Организации. В случае если предоставление соответствующих данных возможно только от третьих лиц, то работник должен дать письменное согласие на это.
4.2. Организация не имеет права требовать и получать персональные данные работника, отражающие личные аспекты его жизни, религиозные, политические, философские взгляды.
4.3. Обработка персональных данных работника может осуществляться только с его письменного согласия, за исключением тех случаев, что предусмотрены пп. 2 — 11 п. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
4.4. Передача персональных данных работника осуществляется с учетом специфики конкретной информационной системы: — в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты; — в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Организации, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным правовым актом.
4.5. Блокирование персональных данных в Организации осуществляется с учетом специфики конкретной информационной системы: — в цифровой информационной системе блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты; — в информационной системе на основе бумажных носителей блокирование данных осуществляется посредством закрытия доступа к соответствующей информационной системе для определенных групп работников.
4.6. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы: — в цифровой информационной системе хранение данных осуществляется на ПК отдела кадров Организации; — в информационной системе на основе бумажных носителей хранение данных осуществляется в архиве отдела кадров.
4.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной информационной системы: — в цифровой информационной системе ликвидация данных осуществляется посредством их удаления с ПК отдела кадров Организации, а также серверов; — в информационной системе на основе бумажных носителей ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.
5. Организация доступа к персональным данным
5.1. Доступ к персональным данным работников Организации, не требующий подтверждения и не подлежащий ограничению, имеют: — руководитель Организации, а также работники его секретариата; — работники отдела кадров Организации; — работники бухгалтерии Организации; — работники, предоставившие Организации свои персональные данные; — руководители отделов экономической безопасности, внутреннего контроля, непосредственные руководители работников, предоставивших Организации свои персональные данные.
5.2. Доступ к персональным данным работников Организации для иных лиц может быть разрешен только отдельным распоряжением руководителя.
6. Обязанности работников, имеющих доступ к персональным данным
6.1. Работники Организации и другие лица, имеющие доступ к персональным данным, обязаны: — осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, а также действующим законодательством Российской Федерации; — информировать своего непосредственного руководителя и руководителя Организации о нештатных ситуациях, связанных с операциями с персональными данными; — обеспечивать конфиденциальность операций с персональными данными; — обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.
7. Права работников в части осуществления операций с персональными данными
7.1. Работник и клиент Организации, передавший Организации свои персональные данные, имеет право: — на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними; — на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные; — требовать от Организации дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам работника и клиента, осуществляются незаконно, а также в случае, если персональные данные недостоверны; — получать от Организации информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны; — получать от Организации информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе Организации.
7.2. Работники и клиенты Организации, имеющие доступ к персональным данным работников Организации, имеют право: — на приобретение полномочий, необходимых в целях осуществления операций с персональными данными; — получение консультационной поддержки со стороны руководства и других компетентных работников в части осуществления операций с персональными данными; — отдачу распоряжений и направление предписаний работникам, передающим персональными данные Организации, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.
8. Ответственность работников за нарушения правил осуществления операций с персональными данными
8.1. Работники и клиенты Организации при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением, а также нормами федерального, регионального и муниципального законодательства Российской Федерации.
8.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм Организации, а также положений законодательства Российской Федерации.