ПОЛОЖЕНИЕ О ЗАЩИТЕ, ХРАНЕНИИ, ОБРАБОТКЕ И ПЕРЕДАЧЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ООО «ПЁРФЕКТ ПЛЭЙ»

Положение об обработке и защите персональных данных определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в ООО «Пёрфект Плэй» (далее – Компания).

Положение об обработке и защите персональных данных определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в ООО «Пёрфект Плэй» (далее – Компания).

Целью настоящего Положения является обеспечение защиты прав и свобод работников Компании и иных физических лиц, персональные данные которых обрабатываются Компанией, в связи с полномочиями, возложенными федеральными законами и иными нормативными правовыми актами Российской Федерации, при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну

Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее - Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»), Федеральным законом от 06.12.2011 № 402- ФЗ «О бухгалтерском учете», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Обработка и защита персональных данных в Компании осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области обработки и защиты персональных данных

При определении объема и содержания обрабатываемых персональных данных работника и иных физических лиц, персональные данные которых обрабатываются, Компания руководствуется настоящим Положением, Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами Российской Федерации.

Работники должны быть ознакомлены под роспись с настоящим Положением, а также с их правами и обязанностями в этой области.

автоматизированная обработка персональных данных ‑ обработка персональных данных с помощью средств вычислительной техники;

автоматизированная обработка персональных данных ‑ обработка персональных данных с помощью средств вычислительной техники;

документированная информация ‑ зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;

доступ к информации ‑ возможность получения информации и ее использования;

информационная система персональных данных ‑ совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

информационная система персональных данных ‑ совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

иконфиденциальная информация – информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ;

конфиденциальность персональных данных ‑ обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

обезличивание персональных данных ‑ действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных ‑ любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обработка персональных данных сотрудника ‑ получение, хранение, комбинирование, передача или любое другое использование персональных данных сотрудника;

общедоступные персональные данные ‑ персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

оператор ‑ государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные ‑ любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные сотрудника ‑ информация, необходимая Компании в связи с трудовыми отношениями и касающаяся конкретного сотрудника;

предоставление персональных данных ‑ действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных ‑ действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

трансграничная передача персональных данных ‑ передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

уничтожение персональных данных ‑ действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

В соответствии с разделом 2 настоящего Положения к субъектам персональных данных относятся следующие категории физических лиц:

работники, состоящие в трудовых отношениях с Компанией, и члены их семей;

физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Компанией;

физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Компанией;

2. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

Персональные данные работников Компании обрабатываются в целях обеспечения кадровой работы, в том числе в целях обучения и профессионального роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности работников и членов их семьи, обеспечения работниками установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества.

В целях, указанных в пункте 4.1 настоящего Положения, обрабатываются следующие категории персональных данных работников Компании:

фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения)

число, месяц, год рождения;

место рождения;

информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

адрес места жительства (адрес регистрации, фактического проживания);

номер контактного телефона или сведения о других способах связи;

реквизиты страхового свидетельства государственного пенсионного страхования

идентификационный номер налогоплательщика;

реквизиты свидетельства государственной регистрации актов гражданского состояния;

семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

сведения о трудовой деятельности;

сведения о воинском учете и реквизиты документов воинского учета;

сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

сведения об ученой степени;

информация о владении иностранными языками, степень владения;

фотография;

сведения о профессиональной переподготовке и (или) повышении квалификации;

информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;

сведения о доходах;

номер расчетного счета;

номер банковской карты;

иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 4.1 настоящего Положения.

Обработка специальных категорий персональных данных работников Компании, как граждан, осуществляется без их согласия в целях, определенных пунктом 4.1 настоящего Положения, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных» и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации) требуется письменное согласие

Обработка персональных данных работников Компании осуществляется при условии получения их согласия в следующих случаях:

при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;

при трансграничной передаче персональных данных;

при принятии решений, порождающих юридические последствия в отношении работников или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

В случаях, предусмотренных пунктом 4.4 настоящего Положения, согласие работника, как субъекта персональных данных, оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных»

В случаях обработки персональных данных субъекта этих данных только с его письменного согласия, работники, которым субъект дает согласие на обработку своих персональных данных, обязаны использовать форму заявления о согласии на обработку персональных данных (Приложение № 1).

В случаях, когда субъект персональных данных, предоставив свое согласие на обработку персональных данных, своей волей и своем интересе отзывает ранее данное согласие на обработку персональных данных, ответственные работники обязаны использовать форму заявления об отзыве согласия на обработку персональных данных

Обработка персональных данных работников Компании включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников Компании осуществляется путем:

получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые работнику Компании, занимающегося кадровыми вопросами);

копирования оригиналов документов;

копирования оригиналов документов;

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в информационные системы.

Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников Компании

В случае возникновения необходимости получения персональных данных работников у третьей стороны, следует известить об этом работника заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, не предусмотренные пунктом 4.2 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни

При сборе персональных данных работник, осуществляющий сбор (получение) персональных данных непосредственно от работников Компании, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

Передача (распространение, предоставление) и использование персональных данных работников Компании осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами

Компания, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Все персональные данные работника Компании следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то работник Компании должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, при этом сообщается:

о целях обработки;

предполагаемых источниках и способах получения персональных данных;

предполагаемых источниках и способах получения персональных данных;

сведения о последствиях отказа дать письменное согласие на их получение.

Персональные данные работника Компании являются конфиденциальной информацией и не могут быть использованы Компанией или любым иным лицом в личных целях

Компания не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, а также о его членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ

Письменное согласие работника на обработку своих персональных данных должно включать:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие работника не требуется, если:

обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона;

обработка персональных данных осуществляется в целях исполнения трудового договора;

обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

персональные данные являются общедоступными;

персональные данные относятся к состоянию здоровья Работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

персональные данные обрабатываются по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

При распространении персональных данных работника Компания должна соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

нобработка персональных данных работника в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;

предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);

осуществлять передачу персональных данных работников в пределах Компании в соответствии с настоящим Положением;

разрешать доступ к персональным данным работника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.

Персональные данные работника хранятся в отделе кадров, в сейфе на бумажных носителях и на электронных носителях с ограниченным доступом.

Право доступа к персональным данным работника имеют:

генеральный директор;

заместитель генерального директора по управлению персоналом;

менеджер по персоналу, специалист по персоналу;

главный бухгалтер;

руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения);

другие работники организации при выполнении ими должностных обязанностей.

Компания обязана за свой счет обеспечить защиту персональных данных Работника от неправомерного их использования или утраты в порядке, установленном законодательством РФ.

Компания обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных федеральными законами в области защиты персональных данных и иными нормативными правовыми актами:

назначать работника, ответственного за организацию обработки персональных данных;

издавать документы, определяющие политику Компании в отношении обработки персональных данных, локальные акты по вопросам обработки и защиты персональных данных;

издавать документы, определяющие политику Компании в отношении обработки персональных данных, локальные акты по вопросам обработки и защиты персональных данных;

при сборе персональных данных работника-гражданина РФ обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных работника с использованием баз данных, находящихся на территории РФ;

осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных федеральным законам в области защиты персональных данных и иным нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора

оценивать вред, который может быть причинен субъектам персональных данных в случае нарушения законодательства в области защиты персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;

знакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства в области защиты персональных данных, в том числе с документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучать указанных работников.

Компания обязана ознакомить работника и его представителей с настоящим Положением и их правами в области защиты персональных данных под роспись.

Компания обязана обеспечить работнику свободный бесплатный доступ к его персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законом.

Компания обязана по требованию работника предоставить ему полную информацию о его персональных данных и обработке этих данных.

Работник в целях обеспечения защиты своих персональных данных, хранящихся у Компании, имеет право получать:

сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

перечень обрабатываемых персональных данных и источник их получения;

сроки обработки персональных данных, в том числе сроки их хранения;

сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Работник вправе получать доступ к своим персональным данным и знакомиться с ними, а также получать копии любой записи, содержащей персональные данные Работника;

Работник может требовать от Компании уточнить, исключить или исправить неполные, неверные, устаревшие, недостоверные, незаконно полученные или не являющиеся необходимыми для Компании персональные данные;

Работник вправе требовать от Компании извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Если работник считает, что Компания осуществляет обработку его персональных данных с нарушением требований федерального закона или иным образом нарушает его права и свободы, работник вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

В случае выявления неправомерной обработки персональных данных при обращении Работника Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому работнику, с момента такого обращения.

В случае выявления неточных персональных данных при обращении работника Компания обязана осуществить блокирование персональных данных, относящихся к этому работнику, с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы работника или третьих лиц.

В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных работником, или иных необходимых документов обязана уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, Компания в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных.

Если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных Компания обязана уведомить работника

В случае отзыва работником согласия на обработку его персональных данных Компания обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.4-8.8 настоящего Положения, Компания осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Работники Компании, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков

Настоящее Положение вступает в силу с момента его утверждения генеральным директором Компании и действует бессрочно, до замены его новым Положением.

Настоящее Положение вступает в силу с момента его утверждения генеральным директором Компании и действует бессрочно, до замены его новым Положением.