Положение об обработке персональных данных работников, клиентов и контрагентов

от «22» октября 2025 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение является локальным нормативным актом Индивидуального предпринимателя Лебедевой Екатерины Владимировны (ОГРНИП 321420500020512, ИНН 222390704763 (далее - Оператор).

1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный Закона № 152-ФЗ), Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», иными нормативно-правовыми актами Российской Федерации.

1.3. Положение определяет:

- цели обработки персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- категории и перечень обрабатываемых персональных данных;

- способы, сроки обработки и хранения;

- порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований;

- меры защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, а также на устранение последствий таких нарушений.

1.4. В целях применения настоящего Положения применяются следующие основные понятия:

работник – физическое лицо, заключившее трудовой Договор с Оператором;

соискатель на вакантную должность - физическое лицо, занимающееся поиском подходящего места работы самостоятельно или с помощью государственной или частной специализированной сервисной системы (далее – соискатели);

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

контрагенты Оператора –уполномоченные представители юридических и/или физических лиц, физические лица, индивидуальные предприниматели, заключившие с Оператором договоры гражданско-правового характера;

клиенты Оператора – физические лица, заключившие с Оператором договоры гражданско-правового характера на оказание услуг Оператором;

обработка персональных данных - сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

субъект персональных данных – работники, родственники работников, уволенные работники, соискатели, контрагенты, посетители обработка персональных данных которых осуществляется Оператором и регламентируется настоящим Положением;

распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

автоматизированная обработка ПДн - Обработка ПДн с помощью средств вычислительной техники.

администратор ИСПДн – индивидуальный предприниматель, обеспечивающий правильное использование и функционирование установленных информационных технологий и технических средств, а также средств защиты информации от несанкционированного доступа.

администратор безопасности ИСПДн - Индивидуальный предприниматель, отвечающий за реализацию разграничений прав доступа к ПДн в ИСПДн.

блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

использование ПДн - действия (операции) с персональными данными, совершаемые ответственным лицом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

неавтоматизированная обработка персональных данных - обработка ПДн, осуществляемая без использования средств автоматизации.

обезличивание ПДн - действия, в результате которых становится невозможным, без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Оператор – Индивидуальный предприниматель Лебедева Екатерина Владимировна (ОГРНИП 321420500020512, ИНН 222390704763, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

оператор ИСПДн – лицо, назначенное Оператором – оператор ПДн, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, программному обеспечению, данным и средствам защиты.

передача (распространение, предоставление, доступ) ПДн - действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

ПДн работника - информация, необходимая оператору в связи с трудовыми отношениями и касающаяся конкретного работника.

ПДн субъекта ПДн - любая информация, относящаяся к субъекту ПДн, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Оператору на основании его полномочий для достижения целей обработки персональных данных.

субъект ПДн - Граждане Российской Федерации, физические лица – работники, состоящие в трудовых отношениях с Оператором, физические лица, состоящие в договорных отношениях с Оператором; юридические лица, индивидуальные предприниматели.

технические средства - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн, программные средства;

уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.

2. ОБЩИЕ УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.1. Оператор обрабатывает персональные данные следующих Субъектов:

а) работников;

б) родственников работников;

в) уволенных работников;

г) соискателей на вакантные должности;

д) контрагентов;

е) клиентов.

2.1.2. Документами, содержащими персональные данные, являются:

- паспорт или иной документ, удостоверяющий личность;

- трудовая книжка и/или сведения о трудовой деятельности;

- страховой номер индивидуального лицевого счета;

- свидетельство о постановке на учет в налоговый орган и присвоении ИНН;

- документы воинского учета;

- документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;

- документы, дающие право на пребывание (проживание) и трудовую деятельность на территории РФ (для иностранных граждан) – патент, разрешение на работу, виза и пр.;

- личная карточка Работника (Т-2);

- анкета, резюме соискателя, характеристики, рекомендательные письма и иные аналогичные документы;

- документы, содержащие сведения о заработной плате, доплатах, надбавках, компенсациях и льготах;

- документы, подтверждающие льготы и наличие особых условий;

- кадровые документы и бухгалтерские документы;

- трудовые и гражданско-правовые договоры;

- информация из анкет обратной связи с официального сайта или e-mail рассылок;

- иные документы, создаваемые Оператором в процессе ведения хозяйственной деятельности, или обрабатываемые согласно действующему законодательству РФ.

2.1.3.  Оператор осуществляет обработку персональных данных следующими способами:

-   неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

-   смешанная обработка персональных данных.

2.1.4. Оператор обрабатывает персональные данные субъектов в целях обеспечения соблюдения законов и иных нормативных правовых актов, реализации уставных видов деятельности Оператора, содействия в трудоустройстве лицам, принимаемым на работу, а также в целях содействия работникам Оператора в получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2.1.5. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

2.1.6. Обработка ПДн субъектов производится в смешанном виде (автоматизированная и не автоматизированная). Оператор не обрабатывает сведения, которые характеризуют физиологические особенности работников и контрагентов и на основе которых можно установить личность

2.1.7. Персональные данные обрабатываются Оператором в следующих целях:

Цель 1: Ведение кадрового и бухгалтерского учета

Перечень обрабатываемых персональных данных иной категории: фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.

Категории субъектов, персональные данные которых обрабатываются: работники; родственники работников; уволенные работники, контрагенты.

Действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение персональных данных.

Срок обработки: до достижения цели.

Способ обработки: смешанный.

Основания обработки персональных данных: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.

Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных – в информационных системах; физическое уничтожение персональных данных с составлением акта об уничтожения персональных данных – на материальных носителях.

Цель 2: Обеспечение соблюдения трудового законодательства РФ

Перечень обрабатываемых персональных данных иной категории: фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото, видео изображение лица.

Категории субъектов, персональные данные которых обрабатываются: работники; родственники работников; уволенные работники.

Действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение персональных данных.

Срок обработки: до достижения цели.

Способ обработки: смешанный.

Основания обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.

Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных – в информационных системах; физическое уничтожение персональных данных с составлением акта об уничтожения персональных данных – на материальных носителях.

Цель 3: Обеспечение соблюдения пенсионного законодательства

Перечень обрабатываемых персональных данных иной категории: фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.

Категории субъектов, персональные данные которых обрабатываются: работники; родственники работников; уволенные работники.

Действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение персональных данных.

Срок обработки: до достижения цели.

Способ обработки: смешанный.

Основания обработки персональных данных: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.

Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных – в информационных системах; физическое уничтожение персональных данных с составлением акта об уничтожения персональных данных – на материальных носителях.

Цель 4: Обеспечение соблюдения налогового законодательства.

Перечень обрабатываемых персональных данных иной категории: фамилия, имя, отчество; год рождения, месяц рождения, дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета).

Категории субъектов, персональные данные которых обрабатываются: работники; родственники работников; уволенные работники.

Действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение персональных данных.

Срок обработки: до достижения цели.

Способ обработки: смешанный.

Основания обработки персональных данных: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.

Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных – в информационных системах; физическое уничтожение персональных данных с составлением акта об уничтожения персональных данных – на материальных носителях.

Цель 5: Подбор персонала (соискателей) на вакантные должности оператора.

Перечень обрабатываемых персональных данных иной категории: фамилия, имя, отчество; адрес электронной почты; номер телефона; гражданство; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета); сведения об образовании.

Категории субъектов, персональные данные которых обрабатываются: соискатели.

Действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; обезличивание; блокирование; удаление; уничтожение персональных данных.

Срок обработки: до достижения цели или отзыва согласия субъекта, но не более месяца. 

Способ обработки: смешанный.

Основания обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных – в информационных системах; физическое уничтожение персональных данных с составлением акта об уничтожения персональных данных – на материальных носителях.

Цель 6: Продвижение товаров, работ, услуг на рынке. 

Перечень обрабатываемых персональных данных иной категории: фамилия, имя, отчество; фото, видео изображение лица, контактный номер телефона; адрес электронной почты; аккаунты социальных сетей; аккаунты мессенджеров, город проживания.

Категории субъектов, персональные данные которых обрабатываются: пользователи мессенджеров, пользователи социальных сетей, пользователи Сайта Оператора, пользователи Интернет-площадок Оператора, контрагенты Оператора, клиенты Оператора.

Действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение персональных данных.

Срок обработки: до достижения цели либо до отзыва согласия субъектом.

Способ обработки: смешанный

Основания обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на «0») с составлением акта об уничтожении персональных данных – в информационных системах; физическое уничтожение персональных данных с составлением акта об уничтожения персональных данных – на материальных носителях.

Дополнительная информация: Распространение персональных данных (ФИО, фото) осуществляется только в случае наличия соответствующего согласия субъекта в виде публикации отзыва такого субъекта. Отзывы могут оставлять клиенты.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ СОИСКАТЕЛЕЙ

3.1 Обработка персональных данных соискателей осуществляется в целях подбора на вакантные должности Оператора.

3.2 Персональные данные соискателя могут быть получены:

- от кадровых агентств;

- на специализированных интернет-сайтах по поиску работы.

3.3 Обработка персональных данных соискателей осуществляется с их письменного согласия, за исключением случаев, при которых от имени соискателя действует кадровое агентство, заключившее с соискателем соответствующий договор, а также при самостоятельном размещении соискателем своего резюме на интернет-сайте по поиску работы в сети Интернет.

3.4 Обработка персональных данных соискателей осуществляется до принятия решения о заключении трудового договора, но в любом случае не более одного месяца. Достижение цели обработки определяется наступлением одного из двух событий – заключение трудового договора либо отказ в трудоустройстве. С момента наступления одного из указанных событий обработка персональных данных соискателя прекращается, персональные данные соискателя, подлежат уничтожению в порядке, установленном разделом 10 настоящего Положения.

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, РОДСТВЕННИКОВ РАБОТНИКОВ, КЛИЕНТОВ (ПОТРЕБИТЕЛЕЙ УСЛУГ), КОНТРАГЕНТОВ.

4.1. Документы, содержащие персональные данные работника, создаются путем:

а) внесения сведений в учетные формы (на бумажных и электронных носителях);

б) получения оригиналов необходимых документов.

Обработка персональных данных работника осуществляется исключительно в целях:

а) обеспечения соблюдения законов и иных нормативных правовых актов;

б) содействия работникам в трудоустройстве;

в) обеспечения личной безопасности работников;

г) контроля количества и качества выполняемой работы;

д) обеспечения сохранности имущества работника и работодателя.

4.2. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников с согласия работника в соответствии с действующим законодательством Российской Федерации.

4.3. Работник обязан представить достоверные сведения о себе.

4.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со ст. 65 ТК РФ:

1) паспорт или иной документ, удостоверяющий личность;

2) трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

3) страховое свидетельство государственного пенсионного страхования;

4) документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;

5) документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки.

4.5. Работники обязаны представлять Оператору сведения об изменении своих персональных данных, включенных в состав личного дела, в течение 5 рабочих дней с момента изменения данных. 

4.6. Оператор не имеет права получать и обрабатывать персональные данные работника специальных категорий: о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья (за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции), интимной жизни.

4.7. Сведения, содержащие персональные данные работника, включаются в его личное дело, а также содержатся на электронных носителях информации, доступ к которым разрешен лицам, непосредственно использующим персональные данные работника в служебных целях.

5. Личное дело работника состоит из следующих документов:

1) трудовой договор;

2) личная карточка формы;

3) трудовая книжка;

4) документы, связанные с трудовой деятельностью (заявления работника, документы, связанные с переводом, дополнительные соглашения к трудовому договору, приказы и др.);

5) карточки для прохода (СКУД)

4.8. Персональные данные, внесенные в личные дела работников, иные сведения, содержащиеся в личных делах, относятся к информации ограниченного доступа.

4.9. Обработка персональных данных родственников работников осуществляется в случаях, предусмотренных законодательством РФ.

4.10. Неавтоматизированная обработка ПДн

4.10.1. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы в отношении каждой ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

4.10.2. При неавтоматизированной обработке ПДн на бумажных носителях:

− не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы;

− ПДн должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или в полях форм (бланков).

4.10.3.  Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем уничтожения материальных носителей и изготовления нового материального носителя с уточненными ПДн.

4.11. Автоматизированная обработка ПДн

4.11.1. Автоматизированная обработка ПДн осуществляется в ИСПДн.

4.11.2.  В ИСПДн Оператора используется прикладное программное обеспечение системы бухгалтерского учета, работающее на платформе 1С, иных системах.

4.11.3.  Пользователем ИСПДн является любое лицо, назначенное Оператором, имеющий доступ к ИСПДн и ее ресурсам в соответствии, в соответствии с его обязанностями, и участвующий в функционировании ИСПДн или использующий результаты ее функционирования.

4.11.4. Пользователи ИСПДн определяются для каждой ИСПДн и делятся на три основные категории:

− администратор ИСПДн;

− администратор безопасности ИСПДн;

− оператор ИСПДн.

4.11.5. Разделение ответственных по категориям пользователей ИСПДн устанавливается также в приказе «О назначении ответственных по работе с ПДн ». Основные функции, права и обязанности пользователей ИСПДн определены в инструкциях.

4.11.6. При эксплуатации ИСПДн необходимо соблюдать следующие требования:

− к работе допускаются только лица, назначенные соответствующим приказом;

− на автоматизированных рабочих местах (АРМ), дисках, папках и файлах, на которых обрабатываются и хранятся сведения о ПДн, должны быть установлены пароли (идентификаторы);

− на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц может осуществляться с разрешения руководителя;

− в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;

− по окончании обработки информации оператор обязан произвести стирание остаточной информации на жестком диске и в оперативной памяти АРМ;

− при увольнении или перемещении оператора ИСПДн, администратор ИСПДн должен принять организационные меры по оперативному изменению паролей;

− носители информации должны храниться в местах, недоступных для посторонних лиц.

4.11.7. Запрещаются обработка и хранение сведений о ПДн на АРМ, подключенных к сети, имеющей доступ к Интернету без межсетевого экрана, а также их передача по незащищенным каналам связи.

4.11.8. Проверка обеспечения защиты ПДн и уровня защищенности ИСПДн проводится с периодичностью один раз в год на основании приказа. Результаты проведенных проверок отражаются в соответствующих Актах

5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, С КОТОРЫМИ ТРУДОВОЙ ДОГОВОР РАСТОРГНУТ (ДАЛЕЕ – УВОЛЕННЫЕ РАБОТНИКИ)

5.1. Обработка персональных данных уволенных работников осуществляется в порядке, определенном Трудовым Кодексом РФ и иными федеральными законами.

5.2. Оператор вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные законодательством Российской Федерации. Персональные данные, не требующие хранения, полежат уничтожению в соответствии с требованиями ч. 4, 5 ст. 21 Федерального Закона № 152-ФЗ.

6. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ, СОИСКАТЕЛЕЙ У ТРЕТЬЕЙ СТОРОНЫ

6.1. Все персональные данные работника Оператор получает у самого работника, соискателя.

Если персональные данные возможно получить только у третьей стороны, то Работник (соискатель) должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить Работнику (соискателю) о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Работника (соискателя) дать письменное согласие на их получение. Использование персональных данных субъектов персональных данных возможно только в соответствии с целями, определившими их получение.

6.2. Оператор вправе запрашивать персональные данные у третьих лиц в случае проверки достоверности, предъявляемых при трудоустройстве документов с согласия Работника/соискателя.

6.3. В случае отказа работника, соискателя предоставить по требованию Оператора свои персональные данные и (или) дать письменное согласие на их обработку, если предоставление персональных данных (и) или получения согласия на их обработку является обязательным в соответствии с законодательством, Оператор информирует работника, соискателя о юридических последствиях такого отказа по форме, утвержденной Оператором.

7. ПРЕДОСТАВЛЕНИЕ И РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1 Предоставление (передача) персональных данных работника третьим лицам производится с согласия работника.

7.2 Оператор вправе осуществить передачу персональных данных работника без его согласия в случаях, предусмотренных законодательством, в том числе по требованию государственных органов.

7.3 Факт передачи персональных данных фиксируется в Журнале учета передачи персональных данных организациям и третьим лицам, и содержит информацию об Операторе, направившем запрос, наименовании запрашиваемого документа, цели передачи и наличии согласия работника.

7.4 Распространение персональных данных работника производится с согласия работника по форме, утвержденной Оператором.

8. ДОСТУП И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1 Доступ к персональным данных имеют только лица, непосредственно использующим персональные данные в целях выполнения должностных обязанностей. Перечень таких лиц утверждается Приказом.

При этом работники и/или лица, с которыми заключен договор гражданско-правового характера, допущенные к обработке персональных данных, в обязательном порядке подписывают «Обязательство о неразглашении конфиденциальной информации» по форме, утвержденной Оператором.

8.2 Требования по соблюдению конфиденциальности персональных данных являются обязательными к исполнению работниками Оператора, допущенным к работе с персональными данными.

8.3 Работник, допущенный к обработке персональных данных, принимает на себя обязательства в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

8.4. При обработке персональных данных лица, допущенные к обработке персональных данных, обязаны соблюдать следующие требования:

а)    не сообщать персональные данные третьей стороне без письменного согласия работника/иного лица, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом;

б)    предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать конфиденциальность.

в)    осуществлять передачу персональных данных в пределах Оператора в соответствии с настоящим Положением;

г)     не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

д)    передавать персональные данные работника представителям работников в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;

е)    не передавать по незащищенным техническим каналам связи, в том числе сообщать по телефону сведения, содержащие персональные данные;

ж)   не снимать копии с документов, содержащих персональные данные, на материальных носителях, не производить выписки из них;

з)     не копировать информацию, содержащие персональные данные, из информационных систем и не хранить на машинных съемных носителях информации, а также не использовать различные технические средства, способные накапливать и хранить информацию в электронном виде, не выполнять работы с материальными и машинными носителями, содержащими персональные данные, вне помещений Оператора;

и)     не выносить за пределы помещений Оператора документы и машинные носители с информацией̆, содержащей̆ персональные данные.

8.5. Материальные, съемные носители персональных данных хранятся в запираемых шкафах и сейфах.

8.6. Хранение документов, содержащих персональные данные Субъектов, осуществляется в течение сроков и в порядке, предусмотренными законодательством Российской Федерации.

9. ПОРЯДОК УТОЧНЕНИЯ, БЛОКИРОВАНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Уничтожение персональных данных производится в случаях:

- выявления неправомерной обработки персональных данных, в том числе по обращению субъекта или уполномоченного органа, если обеспечить правомерность обработки персональных данных невозможно - в течение 10 рабочих дней с даты выявления неправомерной обработки персональных данных;

- требования субъекта, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней со дня представления субъектом данных;

- отзыва согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных - в течение 30 дней с даты поступления указанного отзыва.

- достижения цели обработки персональных данных или утраты необходимости в достижении этих целей - в течение 30 дней с даты достижения цели обработки персональных данных.

9.2. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.

9.3. Уничтожение персональных данных осуществляет ответственный за организацию обработки персональных данных..

9.4. Ответственный за организацию обработки персональных данных составляет перечень документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, проверяет обоснованность необходимости уничтожения персональных данных и выносит соответствующее решение.

9.5. Информация на бумажных носителях (документы, содержащие персональные данные, а также черновики и редакции документов, и испорченные бланки документов) подлежит уничтожению путем измельчения техническими средствами, исключающими возможность дальнейшего использования.

Информация на электронных носителях подлежит уничтожению путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации. Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске компьютера, удаляются средствами операционной системы компьютера с последующим «очищением корзины», либо применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.

9.6. После уничтожения данных формируется Акт об уничтожении данных. Факт уничтожения персональных данных фиксируется в Журнале регистрации уничтожения персональных данных. В случае, если обработка персональных данных осуществлялась с использованием средств автоматизации, к Акту прикладывается Выгрузка из журнала регистрации событий в информационной системе (лог-файл).

9.7. Выгрузка из журнала регистрации событий в информационной системе, содержащей персональные данные, должна содержать:

- фамилию, имя, отчества Субъектов персональных данных, чьи персональные данные были уничтожены;

- перечень категорий, уничтоженных персональных данных;

- наименование информационной системы, из которой были уничтожены персональные данные;

- причину уничтожения;

- дату уничтожения.

9.8. Акты об уничтожении персональных данных и Выгрузки из журнала регистрации событий хранятся у лица, ответственного за организацию обработки персональных данных, 3 (три) года с даты уничтожения персональных данных.