Положение о персональных данных

Общество с ограниченной ответственностью

«СПЕКТР.РУ»

ИНН/КПП 7805810272/780501001

198152, Город Санкт-Петербург, ул Краснопутиловская, д. 5, литера А, часть неж.пом. 14-Н,

неж.пом. 13, (внут. № 415А)

Утверждаю:
Генеральный директор
ООО «СПЕКТР.РУ»
Незальзов В.П.
«03» июня 2024 г.
Приказ № 8 от 03.06.2024г

Положение о персональных данных

Санкт-Петербург, 2024 г.

1. Общие положения

1.1. Положение о персональных данных (далее – Положение) принято в ООО «СПЕКТР.РУ» (далее – Организация, Оператор) для обеспечения сохранности и конфиденциальности персональных данных работников Организации, контрагентов и иных лиц в соответствии с требованиями действующего законодательства Российской Федерации, а также в целях регламентации порядка работы с персональными данными работников Организации.

1.2. Настоящее Положение разработано в соответствии с Уставом Организации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», законодательными актами Российской Федерации.

1.3. Настоящее Положение обязательно для соблюдения всеми работниками Организации.

1.4. Настоящее Положение вступает в действие с момента утверждения его приказом руководителя Организации и действует до утверждения нового положения.

1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом руководителя Организации.

1.6. Основные понятия, используемые в настоящем Положении:

1.6.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.6.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.6.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования.

1.6.4. Субъекты персональных данных: работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; клиенты и контрагенты оператора (физические лица); представители/работники клиентов и контрагентов оператора (юридических лиц).

1.6.5. Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Критерии отнесения информации к персональным данным

2.1. К персональным данным относятся любая информация о работнике, в том числе фамилия, имя, отчество, дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов.

2.2. Достоверность персональных данных определяется исходя из их изначального размещения в таких документах, как:

паспорт или иной источник, удостоверяющий личность;

трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев, когда Организация является для работника первым работодателем);

свидетельство пенсионного страхования;

военный билет и иные документы воинского учета;

диплом об образовании;

свидетельство о наличии ИНН.

Отдельным приказом руководителя Организации могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.

2.3. Отдел кадров, юридическая служба и/или отдел по работе с клиентами обеспечивают проверку вышеперечисленных документов, содержащих персональные данные, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.

3. Операции с персональными данными

3.1. Настоящее Положение устанавливает, что Организация осуществляет следующие операции с персональными данными работников:

получение (сбор);

обработка;

передача;

блокирование;

хранение;

ликвидация.

3.2. Под получением (сбором) персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах.

Сбор персональных данных осуществляется в пределах установленного объема, необходимого для каждой категории субъектов, с которыми взаимодействует Организация, и не может превышать указанный объем.

3.3. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом Организации.

3.4. Под передачей персональных данных понимается операция:

по адресному размещению соответствующих данных на носителях и серверах,

доступ к которым имеют работники Организации либо третьи лица;

по размещению персональных данных в источниках внутрикорпоративного документооборота;

по опубликованию в интересах Организации персональных данных о работнике в СМИ или на серверах Интернета в соответствии с нормами законодательства Российской Федерации.

3.5. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах Организации, в случаях, предусмотренных положениями локальных правовых актов Организации и законодательства Российской Федерации.

3.6. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах Организации.

3.7. Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем Организации, а также обеспечению невозможности их восстановления.

4. Цели обработки персональных данных

4.1. Цель обработки персональных данных: Ведение кадрового и бухгалтерского учета.

4.1.1. Категории субъектов, персональные данные которых обрабатываются:

Работники, уволенные работники.

4.1.2. Персональные данные, подлежащие обработке:

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время, с указанием наименования и расчетного счета организации, сведения о доходе с предыдущего места работы); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения об инвалидности; сведения об удержании алиментов.

4.1.3. Правовое основание обработки персональных данных:

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

Трудовой кодекс Российской Федерации.

4.1.4. Перечень действий с персональными данными:

Сбор, запись, систематизация, накопление, хранение, извлечение, уточнение (обновление), использование, удаление, уничтожение.

4.1.5. Способы обработки:

Смешанная, без передачи по внутренней сети юридического лица, без передачи по сети интернет.

4.2. Цель обработки данных: Обеспечение соблюдения налогового законодательства.

4.2.1. Категории субъектов, персональные данные которых обрабатываются:

Работники.

4.2.2. Персональные данные, подлежащие обработке:

4.2.3. Правовое основание обработки персональных данных:

Налоговый кодекс Российской Федерации.

4.2.4. Перечень действий с персональными данными:

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление), использование, передача (предоставление, доступ), уничтожение.

4.2.5. Способы обработки:

Смешанная, без передачи по внутренней сети юридического лица, с передачей по сети интернет.

4.3. Цель обработки данных: Оказание услуг или выполнение работ по договорам с клиентами (контрагентами).

4.3.1. Категории субъектов, персональные данные которых обрабатываются:

Контрагенты, представители контрагентов, клиенты, посетители интернет-сайта Оператора.

4.3.2. Персональные данные, подлежащие обработке:

Фамилия, имя, отчество; адрес электронной почты; ИНН; адрес места жительства; номер телефона; данные документа, удостоверяющего личность; номер расчетного счета.

4.3.3. Правовое основание обработки персональных данных:

Обработка персональных данных необходима для исполнения договора, стороной, которой является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных.

Заключение договора на выполнение работ или оказание услуг.

Гражданский кодекс Российской Федерации.

4.3.4. Перечень действий с персональными данными:

Сбор, накопление, хранение, использование, передача (предоставление, доступ), уничтожение.

4.3.5. Способы обработки:

Смешанная, без передачи по внутренней сети юридического лица, без передачи по сети интернет.

4.4. Цель обработки персональных данных: Обеспечение соблюдения трудового законодательства.

4.4.1. Категории субъектов, персональные данные которых обрабатываются:

Работники, родственники работников, уволенные работники.

4.4.2. Персональные данные, подлежащие обработке:

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся с свидетельстве о рождении; реквизиты банковской карты; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время, с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании.

4.4.3. Правовое основание обработки персональных данных:

Трудовой кодекс Российской Федерации.

4.4.4. Перечень действий с персональными данными:

4.4.5. Способы обработки:

Смешанная, без передачи по внутренней сети юридического лица, без передачи по сети интернет.

4.5. Цель обработки персональных данных: Подбор персонала (соискателей) на вакантные должности Оператора.

4.5.1. Категории субъектов, персональные данные которых обрабатываются:

Соискатели.

4.5.2. Персональные данные, подлежащие обработке:

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; данные документа, удостоверяющего личность; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время, с указанием наименования и расчетного счета организации); сведения об образовании.

4.5.3. Правовое основание обработки персональных данных:

4.5.4. Перечень действий с персональными данными:

Сбор, систематизация, накопление, использование, уничтожение.

4.5.5. Способы обработки:

Смешанная, без передачи по внутренней сети юридического лица, с передачей по сети интернет.

4.6. Цель обработки данных: Обеспечение соблюдения пенсионного законодательства Российской Федерации.

4.6.1. Категории субъектов, персональные данные которых обрабатываются:

Работники.

4.6.2. Персональные данные, подлежащие обработке:

Фамилия, имя, отчество; дата рождения; месяц рождения; год рождения; доходы; пол; адрес места жительства; ИНН; СНИЛС; гражданство; данные документа, удостоверяющего личность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета банка).

4.6.3. Правовое основание обработки персональных данных:

Обработка персональных данных необходима для достижения целей, предусмотренных международным договорам Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций и полномочий и обязанностей.

Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования».

4.6.4. Перечень действий с персональными данными:

Сбор, систематизация, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), уничтожение.

4.6.5. Способы обработки:

Смешанная, без передачи по внутренней сети юридического лица, с передачей по сети интернет.

5. Порядок осуществления операций с персональными данными

5.1. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от работника Организации. В случае, если предоставление соответствующих данных возможно только от третьих лиц, то работник должен дать письменное согласие на это.

5.2. Организация не имеет права требовать и получать персональные данные работника, отражающие личные аспекты его жизни, религиозные, политические, философские взгляды.

5.3. Обработка персональных данных работника может осуществляться только с его письменного согласия, за исключением тех случаев, что предусмотрены пп. 2 - 11 п. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

5.4. Передача персональных данных работника осуществляется с учетом специфики конкретной информационной системы:

в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;

в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Организации, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным правовым актом.

5.5. Блокирование персональных данных в Организации осуществляется с учетом специфики конкретной информационной системы:

в цифровой информационной системе блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты;

в информационной системе на основе бумажных носителей блокирование данных осуществляется посредством закрытия доступа к соответствующей информационной системе для определенных групп работников.

5.6. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы:

в цифровой информационной системе хранение данных осуществляется на ПК отдела кадров Организации, а также на облачных серверах;

- в информационной системе на основе бумажных носителей хранение данных осуществляется в архиве отдела кадров.

5.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной информационной системы:

в цифровой информационной системе ликвидация данных осуществляется посредством их удаления с ПК отдела кадров Организации, а также серверов;

в информационной системе на основе бумажных носителей ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью

специальных технических средств.

5.8. Организация обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

6. Организация доступа к персональным данным

6.1. Доступ к персональным данным работников Организации, не требующий подтверждения и не подлежащий ограничению, имеют:

руководитель Организации;

работники отдела кадров Организации;

работники бухгалтерии Организации;

работники, предоставившие Организации свои персональные данные.

6.2. Доступ к персональным данным работников Организации для иных лиц может быть разрешен только отдельным распоряжением руководителя.

7. Обязанности работников, имеющих доступ

к персональным данным

7.1. Работники Организации и другие лица, имеющие доступ к персональным данным, обязаны:

осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, а также действующим законодательством Российской Федерации;

информировать своего непосредственного руководителя и руководителя Организации о нештатных ситуациях, связанных с операциями с персональными данными;

обеспечивать конфиденциальность операций с персональными данными;

обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.

8. Права работников в части осуществления

операций с персональными данными

8.1. Работник Организации, передавший Организации свои персональные данные, имеет право:

на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;

на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;

требовать от Организации дополнительной обработки, блокирования или

ликвидации персональных данных, если операции с ними противоречат интересам работника, осуществляются незаконно, а также в случае, если персональные данные недостоверны;

получать от Организации информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;

получать от Организации информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе Организации.

8.2. Работники Организации, имеющие доступ к персональным данным работников Организации, имеют право:

на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;

получение консультационной поддержки со стороны руководства и других компетентных работников в части осуществления операций с персональными данными;

отдачу распоряжений и направление предписаний работникам, передающим персональными данные Организации, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.

9. Ответственность работников за нарушения правил

осуществления операций с персональными данными

9.1. Работники Организации при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением, а также нормами федерального, регионального и муниципального законодательства Российской Федерации.

9.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм Организации, а также положений законодательства Российской Федерации.

10. Заключительные положения

10.1. Настоящее Положение вступает в силу с момента утверждения и действует бессрочно до принятия нового Положения.

10.2. Все изменения и дополнения к настоящему Положению должны быть утверждены генеральным директором ООО «СПЕКТР.РУ».

Генеральный директор _______________ /Незальзов В.П./

ООО «СПЕКТР.РУ»