Положение (политика) о персональных данных

1. Общие положения

1.1. Настоящее Положение принято у ИП Митрофанова Виктора Александровича (далее — ИП) для обеспечения сохранности и конфиденциальности персональных данных работников ИП в соответствии с требованиями действующего законодательства Российской Федерации, а также в целях регламентации порядка работы с персональными данными работников ИП.

1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», законодательными актами Российской Федерации, а именно:

— Конституция Российской Федерации;

— Гражданский кодекс Российской Федерации;

— Трудовой кодекс Российской Федерации;

— Налоговый кодекс Российской Федерации;

— Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

— Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

— иные нормативные правовые акты, регулирующие отношения, связанные сдеятельностью Оператора.

1.3. Настоящее Положение обязательно для соблюдения всеми работниками ИП.

1.4. Настоящее Положение вступает в действие с момента утверждения его приказом индивидуального предпринимателя и действует до утверждения нового положения.

1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом индивидуального предпринимателя.

1.6. Основные понятия, используемые в настоящем Положении:

1.6.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.6.2. Оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.6.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования.

1.6.4. Субъекты персональных данных: работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; клиенты и контрагенты оператора (физические лица); представители/работники клиентов и контрагентов оператора (юридических лиц).

1.6.5. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

2. Критерии отнесения информации к персональным данным

2.1. К персональным данным относятся любая информация о работнике, в том числе фамилия, имя, отчество, дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов.

2.2. Достоверность персональных данных определяется исходя из их изначального размещения в таких документах, как:

— паспорт или иной источник, удостоверяющий личность;

— трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев, когда ИП является для работника первым работодателем);

— свидетельство пенсионного страхования;

— военный билет и иные документы воинского учета;

— диплом об образовании;

— свидетельство о наличии ИНН.

Отдельным приказом индивидуального предпринимателя могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.

2.3 Индивидуальный предприниматель обеспечивает проверку вышеперечисленных документов, содержащих персональные данные, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.

3. Операции с персональными данными

3.1. Настоящее Положение устанавливает, что ИП осуществляет следующие операции с персональными данными работников:

— получение (сбор);

— обработка;

— передача;

— блокирование;

— хранение;

— ликвидация.

3.2. Под получением (сбором) персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах.

Сбор персональных данных осуществляется в пределах установленного объема, необходимого для каждой категории субъектов, с которыми взаимодействует ИП, и не может превышать указанный объем.

На работников ИП собираются следующие персональные данные:

1. Фамилия, имя, отчество, дата и место рождения, гражданство.

2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).

3. Информация о владении иностранными языками, степень владения.

4. Сведения об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).

5. Сведения об ученой степени, ученом звании (дата присвоения, номера дипломов, аттестатов).

6. Сведения о выполняемой работе с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.).

7. Адрес регистрации и фактического проживания.

8. Дата регистрации по месту жительства.

9. Паспортные данные (серия, номер, кем и когда выдан).

10. Номера телефонов.

11. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу).

12. Идентификационный номер налогоплательщика.

13. Номер страхового свидетельства обязательного пенсионного страхования.

14. Номера расчетных счетов, банковских карт.

15. Сведения о наличии/отсутствии судимости.

16. Результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.

17. Данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных.

Способы обработки — Смешанная обработка, с передачей по внутренней сети предпринимателя.

Сроки обработки — В течение срока трудового договора и периода после его завершения, необходимого для выполнения всех обязательств сторон

Сроки хранения — В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе в составе личных дел — 50 лет

Порядок уничтожения — В соответствии с Регламентом уничтожения персональных данных у предпринимателя в зависимости от способа обработки персональных данных и типа носителя персональных данных.

На бывших работников ИП хранятся следующие персональные данные:

1. Фамилия, имя, отчество, дата и место рождения, гражданство.

2. Сведения об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).

3. Адрес регистрации и фактического проживания.

4. Паспортные данные (серия, номер, кем и когда выдан).

5. Идентификационный номер налогоплательщика.

6. Номер страхового свидетельства обязательного пенсионного страхования.

7. Номера телефонов.

Способы обработки — Смешанная обработка, с передачей по внутренней сети предпринимателя.

На кандидатов на замещение вакантных должностей собираются следующие персональные данные:

1. Фамилия, имя, отчество, дата и место рождения, гражданство.

2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).

3. Информация о владении иностранными языками, степень владения.

5. Сведения об ученой степени, ученом звании (дата присвоения, номера дипломов, аттестатов).

7. Адрес регистрации и фактического проживания.

8. Дата регистрации по месту жительства.

9. Паспортные данные (серия, номер, кем и когда выдан).

10. Номера телефонов.

12. Идентификационный номер налогоплательщика.

13. Номер страхового свидетельства обязательного пенсионного страхования.

14. Сведения о наличии/отсутствии судимости.

15. Результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.

Способы обработки — Смешанная обработка, с передачей по внутренней сети предпринимателя.

Сроки обработки — В течение срока, необходимого для рассмотрения кандидатуры соискателя и заключения трудового договора

Сроки хранения — В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные, в том числе для анкеты (резюме) соискателя — 30 дней

На родственников работников собираются следующие персональные данные:

1. Фамилия, имя, отчество, дата и место рождения, гражданство.

2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).

3. Гражданство.

4. Год, месяц и дата рождения.

5. Место рождения.

6. Данные документа, удостоверяющего личность (серия, номер, кем и когда выдан).

7. Адрес регистрации и фактического проживания.

8. Номера телефонов.

9. Сведения об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).

10. Сведения о трудовой деятельности.

Способы обработки — Смешанная обработка, с передачей по внутренней сети предпринимателя.

Сроки обработки — В течение срока трудового договора работника и периода после его завершения, необходимого для выполнения всех обязательств сторон

На клиентов и контрагентов оператора собираются следующие персональные данные:

1. Фамилия, имя, отчество, дата и место рождения, гражданство.

2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).

3. Сведения об образовании (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).

4. Адрес регистрации и фактического проживания.

5. Дата регистрации по месту жительства.

6. Паспортные данные (серия, номер, кем и когда выдан).

7. Идентификационный номер налогоплательщика.

8. Номер страхового свидетельства обязательного пенсионного страхования.

9. Номера телефонов.

10. Номера расчетных счетов, банковских карт.

Способы обработки — Смешанная обработка, с передачей по внутренней сети предпринимателя.

Сроки обработки — В течение срока, необходимого для исполнения заключенного договора

Сроки хранения — В течение срока, установленного номенклатурой дел в зависимости от типа документа, в котором содержатся персональные данные.

3.3. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом ИП.

Цели обработки персональных данных: заключение, исполнение и прекращение гражданско-правовых договоров, трудовых договоров; обеспечение соблюдения законов, заключение и исполнение обязательств по гражданско-правовым договорам; исполнение требований налогового законодательства по вопросам исчисления и уплаты налогов; заполнение первичной статистической документации в соответствии с налоговым законодательством и иными федеральными законами.

Для достижения указанных целей у ИП обрабатываются следующие персональные данные:

1. 1. Фамилия, имя, отчество, дата и место рождения, гражданство.

2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).

3. Информация о владении иностранными языками, степень владения.

5. Сведения об ученой степени, ученом звании (дата присвоения, номера дипломов, аттестатов).

7. Адрес регистрации и фактического проживания.

8. Дата регистрации по месту жительства.

9. Паспортные данные (серия, номер, кем и когда выдан).

10. Номера телефонов.

12. Идентификационный номер налогоплательщика.

13. Номер страхового свидетельства обязательного пенсионного страхования.

14. Номера расчетных счетов, банковских карт.

15. Сведения о наличии/отсутствии судимости.

3.4. Под передачей персональных данных понимается операция:

— по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют работники ИП либо третьи лица;

— по размещению персональных данных в источниках внутрикорпоративного документооборота;

— по опубликованию в интересах ИП персональных данных о работнике в СМИ или на серверах Интернета в соответствии с нормами законодательства Российской Федерации.

3.5. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах ИП, в случаях, предусмотренных положениями локальных актов ИП и законодательства Российской Федерации.

3.6. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах ИП.

3.7. Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем ИП, а также обеспечению невозможности их восстановления.

4. Порядок осуществления операций с персональными данными

4.1. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от работника ИП. В случае если предоставление соответствующих данных возможно только от третьих лиц, то работник должен дать письменное согласие на это.

4.2. ИП не имеет права требовать и получать персональные данные работника, отражающие личные аспекты его жизни, религиозные, политические, философские взгляды.

4.3. Обработка персональных данных работника может осуществляться только с его письменного согласия, за исключением тех случаев, что предусмотрены пп. 2 — 11 п. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

4.4. Передача персональных данных работника осуществляется с учетом специфики конкретной информационной системы:

— в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;

— в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников ИП, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным правовым актом.

4.5. Блокирование персональных данных у ИП осуществляется с учетом специфики конкретной информационной системы:

— в цифровой информационной системе блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты;

— в информационной системе на основе бумажных носителей блокирование данных осуществляется посредством закрытия доступа к соответствующей информационной системе для определенных групп работников.

4.6. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы:

— в цифровой информационной системе хранение данных осуществляется на ПК ИП, а также на облачных серверах;

— в информационной системе на основе бумажных носителей хранение данных осуществляется в архиве.

4.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной информационной системы:

— в цифровой информационной системе ликвидация данных осуществляется посредством их удаления с ПК ИП, а также серверов;

— в информационной системе на основе бумажных носителей ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.

4.8. ИП обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

5. Организация доступа к персональным данным

5.1. Доступ к персональным данным работников ИП, не требующий подтверждения и не подлежащий ограничению, имеют:

— индивидуальный предприниматель;

— управляющий.

5.2. Доступ к персональным данным работников ИП для иных лиц может быть разрешен только отдельным распоряжением индивидуального предпринимателя.

6. Обязанности работников, имеющих доступ к персональным данным

6.1. Работники ИП и другие лица, имеющие доступ к персональным данным, обязаны:

— осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, а также действующим законодательством Российской Федерации;

— информировать индивидуального предпринимателя о нештатных ситуациях, связанных с операциями с персональными данными;

— обеспечивать конфиденциальность операций с персональными данными;

— обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.

7. Права работников в части осуществления операций

с персональными данными

7.1. Работник ИП, передавший ИП свои персональные данные, имеет право:

— на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;

— на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;

— требовать от ИП дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам работника, осуществляются незаконно, а также в случае, если персональные данные недостоверны;

— получать от ИП информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;

— получать от ИП информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе ИП.

7.2. Работники ИП, имеющие доступ к персональным данным работников ИП, имеют право:

— на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;

— получение консультационной поддержки со стороны руководства и других компетентных работников в части осуществления операций с персональными данными;

— отдачу распоряжений и направление предписаний работникам, передающим персональными данные ИП, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.

8. Ответственность работников за нарушения правил осуществления операций с персональными данными

8.1. Работники ИП при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением, а также нормами федерального, регионального и муниципального законодательства Российской Федерации.

8.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм ИП, а также положений законодательства Российской Федерации.