ПОЛОЖЕНИЕ 

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

 

1. Общие положения

1.1. Настоящим Положением определяется порядок обработки и защиты персональных данных работников Общества с ограниченной ответственностью «БУХГАЛТЕРИЯ ПЕРВЫХ» (далее - Работодатель).
1.2. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
 

2. Основные понятия. Состав персональных данных работников

2.1. Для целей настоящего Положения используются следующие основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3Федерального закона от 27.07.2006 N 152-ФЗ).

2.2. Согласно цели, указанной в п. 1.2 Положения, в Обществе обрабатываются следующие персональные данные:
-      фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
-      пол;
-      дата (число, месяц, год) и место рождения;
-      фотографическое изображение;
-      сведения о гражданстве;
-      вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
-      страховой номер индивидуального лицевого счета (СНИЛС);
-      идентификационный номер налогоплательщика (ИНН);
-      адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
-      номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
-      реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
-      сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
-      сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
-      сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
-      номера расчетного счета, банковской карты;
-      иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п.  1.2 Положения;
-      иные персональные данные, которые работник пожелал сообщить о себе, и обработка которых соответствует цели обработки, предусмотренной п.  1.2 Положения.
2.3. У Работодателя создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
2.3.1. Документы, содержащие персональные данные работников:
-       комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
-      комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
-      подлинники и копии приказов (распоряжений) по кадрам;
-      личные дела и трудовые книжки;
-      дела, содержащие материалы аттестаций работников;
-      дела, содержащие материалы внутренних расследований;
-      справочно-информационный банк данных по персоналу (картотеки, журналы);
-      подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству, руководителям структурных подразделений;
-      копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
2.3.2. Документация по организации работы структурных подразделений:
-      положения о структурных подразделениях;
-      приказы, распоряжения, указания руководства;
-      документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

3. Обработка персональных данных работников

3.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.
3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
3.4. Обработка персональных данных работников работодателем возможна только с их согласия. Исключения составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, п. п. 2 - 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ).
3.5. Письменное согласие работника на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 1 - 9 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ.
3.6. Работник представляет Работодателю достоверные сведения о себе. Тот, в свою очередь, проверяет достоверность сведений.
3.7. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать, в частности, следующие общие требования:
3.7.1. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.7.2. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.7.3. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
3.7.4. Работники и их представители должны быть ознакомлены под расписку с документами Работодателя, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
3.7.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
3.8. Обработка персональных данных в Обществе прекращается в следующих случаях:
-       при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
-      при достижении целей их обработки (за некоторыми исключениями);
-      по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями);
-      при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).
3.9. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого является субъект персональных данных.
3.10. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
3.11. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

4. Передача персональных данных

4.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом РФ или иными федеральными законами.
4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное правило не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
4.1.4. Осуществлять передачу персональных данных работников в пределах ООО «БУХГАЛТЕРИЯ ПЕРВЫХ» в соответствии с настоящим Положением, с которым работники должны быть ознакомлены под подпись (Приложение №1).
4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Персональные данные работников обрабатываются и хранятся у Работодателя.
4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
4.4. При получении персональных данных не от работника (за исключением случаев, предусмотренных  ч. 4 ст. 18Федерального закона от 27.07.2006 N 152-ФЗ) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
-      наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
-      цель обработки персональных данных и ее правовое основание;
-      предполагаемые пользователи персональных данных;
-      установленные Федеральным законом от 27.07.2006 N 152-ФЗ права субъекта персональных данных;
-      источник получения персональных данных.

5. Доступ к персональным данным работников

5.1. Право доступа к персональным данным работников имеют:
-       Работодатель;
-       работники отдела по учету заработной платы и кадровому делопроизводству;
-       руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).
5.2. Работник, в частности, имеет право:
5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.
5.2.2. Требовать от работодателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.2.3. Получать от работодателя сведения о наименовании и месте нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
5.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
5.3. В случае нарушения безопасности персональных данных Работодатель обязан уведомить Роскомнадзор и субъектов персональных данных в течение 24 часов (согласно ст. 19. 152-ФЗ О персональных данных).

6. Ответственность за нарушение норм, регулирующих

обработку персональных данных

6.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
6.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.