Положение о защите персональных данных физических лиц
1. Общие положения
1.1. Настоящее Положение принято в целях защиты персональных данных физических лиц: работников, бывших работников, соискателей вакантных должностей ООО «ПапирЮг» (далее по тексту - Общество) и иных третьих лиц (контрагентов Общества, их представителей и др.), далее по тексту – субъектов персональных данных.
1.2. Настоящее Положение определяет права и обязанности субъектов персональных данных при обработке их персональных данных Обществом, порядок использования указанных данных, а также порядок организации обработки и защиты персональных данных вышеуказанных субъектов.
1.3. Настоящее Положение разработано на основе и во исполнение Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудового кодекса Российской Федерации и других нормативных правовых актов.
1.4. Действия настоящего Положения распространяется на всех физических лиц в отношении которых Обществом осуществляется обработка персональных данных.
2. Термины и определения
2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Субъект персональных данных – физические лица: работники, бывшие работники, соискатели вакантной должности Общества, родственники и члены семей работников и иные третьи лица (контрагенты Общества, их представители и др.), в отношении которых Общество осуществляет обработку персональных данных.
2.4. Защита персональных данных– деятельность Общества по обеспечению конфиденциальности информации с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер.
2.5. Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.6. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Состав персональных данных работников соискателей вакантных должностей
3.1. Персональные данные составляют:
а) сведения о фактах, событиях и обстоятельствах частной жизни, позволяющие идентифицировать лицо.
б) сведения, связанные с профессиональной деятельностью субъекта персональных данных, в том числе сведения о поощрениях и о дисциплинарных взысканиях;
3.2. Состав персональных данных в отношении которых Общество вправе осуществлять обработку, а также цели обработки определяется Политикой обработки персональных данных, действующей в Обществе, а также согласиями субъектов персональных данных на обработку персональных данных.
3.3. Документами, содержащие персональные данные являются:
• паспорт или иной документ, удостоверяющий личность;
• трудовая книжка;
• страховое свидетельство государственного пенсионного страхования;
• свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
• документы воинского учёта;
• документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
• карточка Т-2;
• автобиография;
• личный листок по учёту кадров;
• медицинское заключение о состоянии здоровья;
• документы, содержащие сведения о заработной плате, доплатах и надбавках;
• приказы о приеме лица на работу, об увольнении, о переводе лица на другую должность и иные приказы (распоряжения);
• решение/ протокол и выписки из них о назначении на должность;
• комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
• трудовой договор;
• ученический договор;
• дела, содержащие материалы аттестаций работников;
• дела, содержащие материалы внутренних расследований;
• справочно-информационный банк данных по персоналу (картотеки, журналы);
• документы планирования, учета, анализа и отчетности по вопросам кадровой работы.
• другие документы, предусмотренные действующим законодательством РФ.
3.4. Персональные данные относятся к категории конфиденциальной информации. Обеспечение конфиденциальности осуществляется в порядке, предусмотренном локальными актами Общества - настоящим Положением, приказами руководителя Общества и др., а также требованиями действующего законодательства РФ. Все меры конфиденциальности при обработке персональных данных распространяется как на бумажные, так и на электронные (автоматизированные) носители информации.
4. Обработка персональных данных
4.1. Обработка персональных данных осуществляется исключительно в целях, определенных действующим законодательством РФ, локальными актами Общества (Политикой обработки персональных данных), а также согласиями субъектов персональных данных.
При обработке персональных данных в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции Российской Федерации, Трудового Кодекса Российской Федерации и иных федеральных законов.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод.
4.2. Обрабатывать в том числе передавать и хранить персональные данные субъектов персональных данных могут:
- руководитель Общества и его заместители;
- руководители структурных подразделений, а также работники Общества при выполнении ими своих должностных обязанностей;
- иные организации и работники таких организаций по поручению Общества на основании заключенного и действующего договора возмездного оказания услуг и/или поручения.
4.3. В случае, если Обществом дано поручение об обработке персональных данных субъектов персональных данных третьему лицу на основании заключенного и действующего договора возмездного оказания услуг и/или поручения, то обработку в том числе хранение персональных данных может осуществлять соответствующее третье лицо при соблюдении требований действующего законодательства в области персональных данных (наличие согласия субъекта персональных данных на передачу его персональных данных, соблюдение требований защиты персональных данных, обеспечение конфиденциальности и др.).
Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
В поручении Общества должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
4.4. Хранение персональных данных происходит в порядке, исключающем их утрату или их неправомерное использование. Места хранения и перечень лиц, ответственных за обработку персональных данных, в том числе хранение персональных данных утверждены Приказом руководителя Общества.
Персональные данные, содержащиеся на бумажных носителях хранятся в специально отведенных местах (шкафах, сейфах, в помещениях), утвержденных Приказом руководителя Общества. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.
Персональные данные, содержащиеся на электронных носителях информации, хранятся на сервере Общества доступ к которому строго ограничен Приказом руководителя Общества.
4.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.6. Обработка персональных данных начинается с момента их получения в том числе с момента поступления персональных данных в информационные системы персональных данных и прекращается:
• в случае достижения цели обработки персональных данных. В этом случае Общество обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами;
• в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Отзыв субъектом персональных данных согласия на обработку своих персональных данных оформляется в соответствии с образцом, указанным в Политике обработки персональных данных, действующей в Обществе. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных и в случае прекращения деятельности Общества;
• в случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. Доступ к персональным данным
5.1. Внутренний доступ (работники Общества). Доступ к персональным данным субъектов персональных данных имеют следующие лица:
- руководитель Общества и его заместители;
- руководители структурных подразделений Общества по направлению деятельности (доступ к
личным данным только работников своего подразделения);
- каждый работник Общества имеют право на полную информацию только о своих персональных данных и обработке этих данных, если это не нарушает права и интересы других субъектов персональных данных;
- другие работники Общества при выполнении ими своих должностных
обязанностей.
5.2. Внешний доступ. Доступ к персональным данным субъектов персональных данных имеют следующие лица:
- органы государственной власти РФ и субъектов РФ, а также органы местного самоуправления, которые в соответствии с законодательством РФ имеют право на истребование информации, сведений и документов, содержащих персональные данные. Органы исполнительной власти, осуществляющие функции по контролю и надзору имеют доступ к информации только в сфере своей компетенции.
- другие организации в случаях, предусмотренных действующим законодательством РФ или договором, заключенным и действующим между такой организацией и Обществом.
- представители, родственники или члены семьи субъекта персональных данных с согласия субъектов персональных данных, а также в случаях, предусмотренных законодательством РФ.
5.3. Доступ к персональным данным разрешается при наличии письменного согласия субъекта персональных данных.
Доступ к персональным данным субъекта персональных данных возможен без согласия:
• в целях предупреждения угрозы жизни и здоровья субъекта персональных данных. Общество в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы.
• при поступлении официальных обращений (запросов), требований в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
• при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов;
• в иных случаях, предусмотренных иными федеральными законами.
6. Права и обязанности
6.1. Субъекты персональных данных должны быть ознакомлены с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. Ознакомление субъектов персональных данных с соответствующими положениями документов в области персональных данных осуществляется в месте нахождения Общества по инициативе Общества (на пример в связи с регулированием трудовых отношений работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области), а также по инициативе самого субъекта персональных данных – при обращении или на основании соответствующего запроса в соответствии с порядком регламентированным локальными актами Общества (Политикой обработки персональных данных, Приказами руководителя Общества и др.), а также действующим законодательством Российской Федерации.
6.2. В целях обеспечения защиты собственных персональных данных субъекты персональных данных имеют право:
• получать информацию, касающуюся обработки его персональных данных, в том числе содержащей подтверждение факта обработки персональных данных Обществом;
• получать информацию о составе своих персональных данных и их обработке Обществом или третьими лицами, в частности, право знать, кто и в каких целях и каким способом использует или использовал его персональные данные;
• получать информацию о правовых основаниях обработки и источниках получения персональных данных;
• получать информацию о сроках обработки персональных данных, в том числе сроках их хранения;
• получать информацию о порядке осуществления субъектом персональных данных своих прав;
• получать информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• получать информацию о наименовании и адресе лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
• получать иные сведений, предусмотренные федеральными законами РФ;
• требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требовать от Общества прекратить обработку его персональных данных;
• на защиту своих прав и интересов в связи с обработкой персональных данных лично или через своих представителей, в том числе обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в суд любых неправомерных действий или бездействия Общества при обработке и защите его персональных данных, требовать возмещения убытков и (или) компенсацию морального вреда;
• на реализацию иных в соответствии с действующим законодательством РФ.
6.3. В целях обеспечения достоверности персональных данных субъекты персональных данных обязаны:
• предоставить Обществу полные и достоверные данные о себе;
• в случае изменения сведений, составляющих персональные данные, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Обществу.
6.4. Общество:
• в случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора - осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения (запроса). Порядок направления обращения (запроса) регламентирован Политикой обработки персональных данных Общества, а также действующим законодательством Российской Федерации;
• обеспечивает защиту персональных данных субъекта от неправомерного их использования или утраты в порядке. В целях защиты персональных данных осуществляются мероприятия, регламентированные настоящим Положением, иными локальными нормативными актами Общества, а также законодательством Российской Федерации;
• предоставляет возможность субъектам персональных данных ознакомиться с настоящим Положением и его правами по вопросам обработки и защиты персональных данных. Перечень лиц, ответственных за ознакомление субъектов персональных данных, утверждены Приказом руководителя Общества;
• обеспечивает хранение персональных данных в соответствии с порядком регламентированным настоящим Положением и действующим Законодательством Российской Федерации;
• в случае реорганизации или ликвидации Общества учет и сохранность документов, порядок передачи их на государственное хранение осуществляет в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации;
• при обращении или на основании запроса субъекта персональных данных или его законного представителя предоставляет ему полную информацию о его персональных данных и обработке этих данных Порядок направления обращения (запроса) регламентирован Политикой обработки персональных данных Общества, а также действующим законодательством Российской Федерации;
• при обработке персональных данных обеспечивает точность персональных данных, их достаточность, актуальность по отношению к целям обработки персональных данных.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
Общество обеспечивает удаление или уточнение неполных или неточных персональных данных. Уничтожение персональных данных осуществляется Обществом в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, а также в случае достижения цели обработки персональных данных, если иное не иное не предусмотрено:
- договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- федеральными законами;
- иным соглашением между Обществом и субъектом персональных данных.
Перечень лиц, ответственных за обработку персональных данных в том числе обеспечение актуальности: исправление, уточнение (обновление, изменение), удаление, уничтожение персональных данных, утверждены Приказом руководителя Общества.
7. Организация защиты персональных данных
7.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
7.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
7.3. Защите подлежит:
- информация о персональных данных субъекта;
- документы, содержащие персональные данные субъекта;
- персональные данные, содержащиеся на материальных и электронных носителях.
7.4. В целях защиты персональных данных Обществом осуществляются следующие мероприятия:
• определяются актуальные угрозы безопасности персональных данных - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия;
• изданы, утверждены и приняты к исполнению локальные акты по вопросам обработки и защиты персональных данных разрабатываются локальные акты, включая Политика обработке персональных данных и др.
• Приказом руководителя Общества назначен ответственный за организацию обработки персональных данных;
• осуществляется внутренний контроль (аудит) соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и другим нормативным правовым актам, а также локальным актам оператора регулирующих данную область;
• определен круг лиц, которым предоставляется доступ к персональным данным, сформирован соответствующий Список лиц, допущенных к обработке персональных данных (далее Список) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, который утверждается генеральным директором Общества. Актуальность Списка проверяется не реже одного раза в квартал, а также при принятии на работу, увольнении или изменении должностных обязанностей работников, ответственных за организацию обработки. В случае выявления расхождений вносится соответствующие изменения в Список;
• ответственные лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями действующего законодательства Российской Федерации о персональных данных, в том числе с требованиями к обработке и защите персональных данных, локальными актами Общества;
• с лицами, имеющими доступ к персональным данным подписаны соглашения о неразглашении конфиденциальной информации (соглашение о конфиденциальности);
• ведется учет машинных носителей персональных данных;
• ограничен доступ в помещения, в которых обрабатываются персональные данные;
• обеспечено наличие запираемых шкафов, сейфов в которых хранятся документы и иные носители персональных данных;
• рабочие места и экраны мониторов персональных компьютеров размещены таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками);
• установлены индивидуальные пароли на машинные носители с персональными данными;
• бумажные носители, содержащие персональные данные, размещаются таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками);
• испорченные бланки, черновики и промежуточные редакции документов, содержащие персональные данные, по окончании работы с ними уничтожаются путем шредирования;
• используется лицензированное программное обеспечение (программные продукты на базе 1С и др.), посредством которого осуществляется обработка персональных данных;
• определенному кругу лиц выдаются электронные ключи (пароли) для работы с программными продуктами в которых осуществляется обработка персональных данных;
• установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечена регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• организована антивирусная защита в информационных системах персональных данных Общества (на персональных компьютерах устанавливается сертифицированное в Российской Федерации антивирусное программное обеспечение);
• проводятся обучение и инструктажи по использованию программного обеспечения (программных продуктов), в том числе разъясняется порядок действий при использовании внешних носителей и при обнаружении вирусов;
• по возможности персональные данные обезличиваются;
• принимаются иные надлежащие меры для невозможности несанкционированного доступа к персональным данным и восстановление персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;
При работе с персональными данными уполномоченным работникам Общества запрещается:
• работать под чужими или общими учетными записями в информационных системах, обрабатывающих персональные данные, и передавать кому-либо индивидуальные пароли, за исключением случаев временного отсутствия работника на своем рабочем месте (отпуск, временная нетрудоспособность и др.);
• допускать использование своего рабочего места другими работниками и посторонними лицами;
• использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах Общества;
• сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным;
• делать копии документов, содержащих персональные данные, не требующиеся для выполнения своих должностных обязанностей;
• держать на рабочем месте материальные носители с персональными данными дольше времени, необходимого на их обработку.
Работник немедленно ставит в известность руководителя своего подразделения:
• о факте утраты (утери, хищения) материальных носителей персональных данных;
• о факте разглашения или неправомерной обработки персональных данных;
• о ставших известными ему фактах или возможностях несанкционированного доступа к информационным системам, обрабатывающим персональные данные.
7.5. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается Обществом за счет его средств в порядке, установленном федеральным законом, если иное не предусмотрено договором возмездного оказания услуг и/или поручения согласно условиям которого обработку в том числе хранение персональных данных осуществляет третье лицо.
8. Порядок уничтожения персональных данных
8.1. Для целей уничтожения персональных данных Приказом руководителя Общества назначается комиссия по уничтожению персональных данных. Председателем комиссии назначается лицо, ответственное за уничтожение персональных данных.
8.2. При наступлении любого из событий, повлекших, согласно законодательства РФ, необходимость уничтожения персональных данных, лицо, ответственное за уничтожение персональных данных обязано:
- уведомить членов комиссии о работах по уничтожению персональных данных;
- определить (назначить) время, место работы комиссии (время и место уничтожения персональных данных);
- установить перечень, тип, наименование, регистрационные номера и другие данные носителей, на которых находятся персональных данных, подлежащие уничтожению (и/или материальные носители персональных данных);
- определить технологию (приём, способ) уничтожения персональных данных (и/или материальных носителей персональных данных);
- определить технические (материальные, программные и иные) средства, посредством которых будет произведено уничтожение персональных данных;
- руководя работой членов комиссии, произвести уничтожение персональных данных (и/или материальных носителей персональных данных);
- оформить соответствующий Акт об уничтожении (о прекращении обработки) персональных данных или Акт об уничтожении съемного носителя персональных данных на утверждение руководителю Общества.
- при необходимости уведомить об уничтожении (прекращении обработки) персональных данных субъекта персональных данных и/или уполномоченный орган.
8.3. Уничтожение персональных данных Обществом осуществляется в течение 30 дней с даты достижения цели обработки персональных данных или с даты поступления отзыва субъектом персональных данных согласия на обработку его персональных данных.
9. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
9.1. Передача третьим лицам персональных данных субъекта осуществляется только в соответствии с настоящим Положением и законодательством Российской Федерации.
9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.
10. Заключительные положения
10.1 Настоящее Положение вступает в силу с момента его утверждения руководителем Общества.
10.2 Настоящее Положение доводится до сведения всех лиц, осуществляющих обработку персональных данных под роспись.
1.1. Настоящее Положение принято в целях защиты персональных данных физических лиц: работников, бывших работников, соискателей вакантных должностей ООО «ПапирЮг» (далее по тексту - Общество) и иных третьих лиц (контрагентов Общества, их представителей и др.), далее по тексту – субъектов персональных данных.
1.2. Настоящее Положение определяет права и обязанности субъектов персональных данных при обработке их персональных данных Обществом, порядок использования указанных данных, а также порядок организации обработки и защиты персональных данных вышеуказанных субъектов.
1.3. Настоящее Положение разработано на основе и во исполнение Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудового кодекса Российской Федерации и других нормативных правовых актов.
1.4. Действия настоящего Положения распространяется на всех физических лиц в отношении которых Обществом осуществляется обработка персональных данных.
2. Термины и определения
2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Субъект персональных данных – физические лица: работники, бывшие работники, соискатели вакантной должности Общества, родственники и члены семей работников и иные третьи лица (контрагенты Общества, их представители и др.), в отношении которых Общество осуществляет обработку персональных данных.
2.4. Защита персональных данных– деятельность Общества по обеспечению конфиденциальности информации с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер.
2.5. Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.6. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Состав персональных данных работников соискателей вакантных должностей
3.1. Персональные данные составляют:
а) сведения о фактах, событиях и обстоятельствах частной жизни, позволяющие идентифицировать лицо.
б) сведения, связанные с профессиональной деятельностью субъекта персональных данных, в том числе сведения о поощрениях и о дисциплинарных взысканиях;
3.2. Состав персональных данных в отношении которых Общество вправе осуществлять обработку, а также цели обработки определяется Политикой обработки персональных данных, действующей в Обществе, а также согласиями субъектов персональных данных на обработку персональных данных.
3.3. Документами, содержащие персональные данные являются:
• паспорт или иной документ, удостоверяющий личность;
• трудовая книжка;
• страховое свидетельство государственного пенсионного страхования;
• свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
• документы воинского учёта;
• документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
• карточка Т-2;
• автобиография;
• личный листок по учёту кадров;
• медицинское заключение о состоянии здоровья;
• документы, содержащие сведения о заработной плате, доплатах и надбавках;
• приказы о приеме лица на работу, об увольнении, о переводе лица на другую должность и иные приказы (распоряжения);
• решение/ протокол и выписки из них о назначении на должность;
• комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
• трудовой договор;
• ученический договор;
• дела, содержащие материалы аттестаций работников;
• дела, содержащие материалы внутренних расследований;
• справочно-информационный банк данных по персоналу (картотеки, журналы);
• документы планирования, учета, анализа и отчетности по вопросам кадровой работы.
• другие документы, предусмотренные действующим законодательством РФ.
3.4. Персональные данные относятся к категории конфиденциальной информации. Обеспечение конфиденциальности осуществляется в порядке, предусмотренном локальными актами Общества - настоящим Положением, приказами руководителя Общества и др., а также требованиями действующего законодательства РФ. Все меры конфиденциальности при обработке персональных данных распространяется как на бумажные, так и на электронные (автоматизированные) носители информации.
4. Обработка персональных данных
4.1. Обработка персональных данных осуществляется исключительно в целях, определенных действующим законодательством РФ, локальными актами Общества (Политикой обработки персональных данных), а также согласиями субъектов персональных данных.
При обработке персональных данных в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции Российской Федерации, Трудового Кодекса Российской Федерации и иных федеральных законов.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод.
4.2. Обрабатывать в том числе передавать и хранить персональные данные субъектов персональных данных могут:
- руководитель Общества и его заместители;
- руководители структурных подразделений, а также работники Общества при выполнении ими своих должностных обязанностей;
- иные организации и работники таких организаций по поручению Общества на основании заключенного и действующего договора возмездного оказания услуг и/или поручения.
4.3. В случае, если Обществом дано поручение об обработке персональных данных субъектов персональных данных третьему лицу на основании заключенного и действующего договора возмездного оказания услуг и/или поручения, то обработку в том числе хранение персональных данных может осуществлять соответствующее третье лицо при соблюдении требований действующего законодательства в области персональных данных (наличие согласия субъекта персональных данных на передачу его персональных данных, соблюдение требований защиты персональных данных, обеспечение конфиденциальности и др.).
Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
В поручении Общества должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
4.4. Хранение персональных данных происходит в порядке, исключающем их утрату или их неправомерное использование. Места хранения и перечень лиц, ответственных за обработку персональных данных, в том числе хранение персональных данных утверждены Приказом руководителя Общества.
Персональные данные, содержащиеся на бумажных носителях хранятся в специально отведенных местах (шкафах, сейфах, в помещениях), утвержденных Приказом руководителя Общества. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.
Персональные данные, содержащиеся на электронных носителях информации, хранятся на сервере Общества доступ к которому строго ограничен Приказом руководителя Общества.
4.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.6. Обработка персональных данных начинается с момента их получения в том числе с момента поступления персональных данных в информационные системы персональных данных и прекращается:
• в случае достижения цели обработки персональных данных. В этом случае Общество обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами;
• в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Отзыв субъектом персональных данных согласия на обработку своих персональных данных оформляется в соответствии с образцом, указанным в Политике обработки персональных данных, действующей в Обществе. Об уничтожении персональных данных Общество уведомляет субъекта персональных данных и в случае прекращения деятельности Общества;
• в случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. Доступ к персональным данным
5.1. Внутренний доступ (работники Общества). Доступ к персональным данным субъектов персональных данных имеют следующие лица:
- руководитель Общества и его заместители;
- руководители структурных подразделений Общества по направлению деятельности (доступ к
личным данным только работников своего подразделения);
- каждый работник Общества имеют право на полную информацию только о своих персональных данных и обработке этих данных, если это не нарушает права и интересы других субъектов персональных данных;
- другие работники Общества при выполнении ими своих должностных
обязанностей.
5.2. Внешний доступ. Доступ к персональным данным субъектов персональных данных имеют следующие лица:
- органы государственной власти РФ и субъектов РФ, а также органы местного самоуправления, которые в соответствии с законодательством РФ имеют право на истребование информации, сведений и документов, содержащих персональные данные. Органы исполнительной власти, осуществляющие функции по контролю и надзору имеют доступ к информации только в сфере своей компетенции.
- другие организации в случаях, предусмотренных действующим законодательством РФ или договором, заключенным и действующим между такой организацией и Обществом.
- представители, родственники или члены семьи субъекта персональных данных с согласия субъектов персональных данных, а также в случаях, предусмотренных законодательством РФ.
5.3. Доступ к персональным данным разрешается при наличии письменного согласия субъекта персональных данных.
Доступ к персональным данным субъекта персональных данных возможен без согласия:
• в целях предупреждения угрозы жизни и здоровья субъекта персональных данных. Общество в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы.
• при поступлении официальных обращений (запросов), требований в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
• при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов;
• в иных случаях, предусмотренных иными федеральными законами.
6. Права и обязанности
6.1. Субъекты персональных данных должны быть ознакомлены с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. Ознакомление субъектов персональных данных с соответствующими положениями документов в области персональных данных осуществляется в месте нахождения Общества по инициативе Общества (на пример в связи с регулированием трудовых отношений работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области), а также по инициативе самого субъекта персональных данных – при обращении или на основании соответствующего запроса в соответствии с порядком регламентированным локальными актами Общества (Политикой обработки персональных данных, Приказами руководителя Общества и др.), а также действующим законодательством Российской Федерации.
6.2. В целях обеспечения защиты собственных персональных данных субъекты персональных данных имеют право:
• получать информацию, касающуюся обработки его персональных данных, в том числе содержащей подтверждение факта обработки персональных данных Обществом;
• получать информацию о составе своих персональных данных и их обработке Обществом или третьими лицами, в частности, право знать, кто и в каких целях и каким способом использует или использовал его персональные данные;
• получать информацию о правовых основаниях обработки и источниках получения персональных данных;
• получать информацию о сроках обработки персональных данных, в том числе сроках их хранения;
• получать информацию о порядке осуществления субъектом персональных данных своих прав;
• получать информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• получать информацию о наименовании и адресе лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
• получать иные сведений, предусмотренные федеральными законами РФ;
• требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требовать от Общества прекратить обработку его персональных данных;
• на защиту своих прав и интересов в связи с обработкой персональных данных лично или через своих представителей, в том числе обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в суд любых неправомерных действий или бездействия Общества при обработке и защите его персональных данных, требовать возмещения убытков и (или) компенсацию морального вреда;
• на реализацию иных в соответствии с действующим законодательством РФ.
6.3. В целях обеспечения достоверности персональных данных субъекты персональных данных обязаны:
• предоставить Обществу полные и достоверные данные о себе;
• в случае изменения сведений, составляющих персональные данные, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Обществу.
6.4. Общество:
• в случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора - осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения (запроса). Порядок направления обращения (запроса) регламентирован Политикой обработки персональных данных Общества, а также действующим законодательством Российской Федерации;
• обеспечивает защиту персональных данных субъекта от неправомерного их использования или утраты в порядке. В целях защиты персональных данных осуществляются мероприятия, регламентированные настоящим Положением, иными локальными нормативными актами Общества, а также законодательством Российской Федерации;
• предоставляет возможность субъектам персональных данных ознакомиться с настоящим Положением и его правами по вопросам обработки и защиты персональных данных. Перечень лиц, ответственных за ознакомление субъектов персональных данных, утверждены Приказом руководителя Общества;
• обеспечивает хранение персональных данных в соответствии с порядком регламентированным настоящим Положением и действующим Законодательством Российской Федерации;
• в случае реорганизации или ликвидации Общества учет и сохранность документов, порядок передачи их на государственное хранение осуществляет в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации;
• при обращении или на основании запроса субъекта персональных данных или его законного представителя предоставляет ему полную информацию о его персональных данных и обработке этих данных Порядок направления обращения (запроса) регламентирован Политикой обработки персональных данных Общества, а также действующим законодательством Российской Федерации;
• при обработке персональных данных обеспечивает точность персональных данных, их достаточность, актуальность по отношению к целям обработки персональных данных.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
Общество обеспечивает удаление или уточнение неполных или неточных персональных данных. Уничтожение персональных данных осуществляется Обществом в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, а также в случае достижения цели обработки персональных данных, если иное не иное не предусмотрено:
- договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- федеральными законами;
- иным соглашением между Обществом и субъектом персональных данных.
Перечень лиц, ответственных за обработку персональных данных в том числе обеспечение актуальности: исправление, уточнение (обновление, изменение), удаление, уничтожение персональных данных, утверждены Приказом руководителя Общества.
7. Организация защиты персональных данных
7.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
7.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
7.3. Защите подлежит:
- информация о персональных данных субъекта;
- документы, содержащие персональные данные субъекта;
- персональные данные, содержащиеся на материальных и электронных носителях.
7.4. В целях защиты персональных данных Обществом осуществляются следующие мероприятия:
• определяются актуальные угрозы безопасности персональных данных - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия;
• изданы, утверждены и приняты к исполнению локальные акты по вопросам обработки и защиты персональных данных разрабатываются локальные акты, включая Политика обработке персональных данных и др.
• Приказом руководителя Общества назначен ответственный за организацию обработки персональных данных;
• осуществляется внутренний контроль (аудит) соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и другим нормативным правовым актам, а также локальным актам оператора регулирующих данную область;
• определен круг лиц, которым предоставляется доступ к персональным данным, сформирован соответствующий Список лиц, допущенных к обработке персональных данных (далее Список) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение правил обработки персональных данных, который утверждается генеральным директором Общества. Актуальность Списка проверяется не реже одного раза в квартал, а также при принятии на работу, увольнении или изменении должностных обязанностей работников, ответственных за организацию обработки. В случае выявления расхождений вносится соответствующие изменения в Список;
• ответственные лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями действующего законодательства Российской Федерации о персональных данных, в том числе с требованиями к обработке и защите персональных данных, локальными актами Общества;
• с лицами, имеющими доступ к персональным данным подписаны соглашения о неразглашении конфиденциальной информации (соглашение о конфиденциальности);
• ведется учет машинных носителей персональных данных;
• ограничен доступ в помещения, в которых обрабатываются персональные данные;
• обеспечено наличие запираемых шкафов, сейфов в которых хранятся документы и иные носители персональных данных;
• рабочие места и экраны мониторов персональных компьютеров размещены таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками);
• установлены индивидуальные пароли на машинные носители с персональными данными;
• бумажные носители, содержащие персональные данные, размещаются таким образом, чтобы исключить возможность просмотра информации посторонними лицами (в том числе другими работниками);
• испорченные бланки, черновики и промежуточные редакции документов, содержащие персональные данные, по окончании работы с ними уничтожаются путем шредирования;
• используется лицензированное программное обеспечение (программные продукты на базе 1С и др.), посредством которого осуществляется обработка персональных данных;
• определенному кругу лиц выдаются электронные ключи (пароли) для работы с программными продуктами в которых осуществляется обработка персональных данных;
• установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечена регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• организована антивирусная защита в информационных системах персональных данных Общества (на персональных компьютерах устанавливается сертифицированное в Российской Федерации антивирусное программное обеспечение);
• проводятся обучение и инструктажи по использованию программного обеспечения (программных продуктов), в том числе разъясняется порядок действий при использовании внешних носителей и при обнаружении вирусов;
• по возможности персональные данные обезличиваются;
• принимаются иные надлежащие меры для невозможности несанкционированного доступа к персональным данным и восстановление персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;
При работе с персональными данными уполномоченным работникам Общества запрещается:
• работать под чужими или общими учетными записями в информационных системах, обрабатывающих персональные данные, и передавать кому-либо индивидуальные пароли, за исключением случаев временного отсутствия работника на своем рабочем месте (отпуск, временная нетрудоспособность и др.);
• допускать использование своего рабочего места другими работниками и посторонними лицами;
• использовать (загружать, запускать и т.п.) для обработки персональных данных программные средства, не разрешенные для применения в информационных системах Общества;
• сообщать ставшие им известными в связи с исполнением своих должностных обязанностей персональные данные лицам, не имеющим права доступа к этим данным;
• делать копии документов, содержащих персональные данные, не требующиеся для выполнения своих должностных обязанностей;
• держать на рабочем месте материальные носители с персональными данными дольше времени, необходимого на их обработку.
Работник немедленно ставит в известность руководителя своего подразделения:
• о факте утраты (утери, хищения) материальных носителей персональных данных;
• о факте разглашения или неправомерной обработки персональных данных;
• о ставших известными ему фактах или возможностях несанкционированного доступа к информационным системам, обрабатывающим персональные данные.
7.5. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается Обществом за счет его средств в порядке, установленном федеральным законом, если иное не предусмотрено договором возмездного оказания услуг и/или поручения согласно условиям которого обработку в том числе хранение персональных данных осуществляет третье лицо.
8. Порядок уничтожения персональных данных
8.1. Для целей уничтожения персональных данных Приказом руководителя Общества назначается комиссия по уничтожению персональных данных. Председателем комиссии назначается лицо, ответственное за уничтожение персональных данных.
8.2. При наступлении любого из событий, повлекших, согласно законодательства РФ, необходимость уничтожения персональных данных, лицо, ответственное за уничтожение персональных данных обязано:
- уведомить членов комиссии о работах по уничтожению персональных данных;
- определить (назначить) время, место работы комиссии (время и место уничтожения персональных данных);
- установить перечень, тип, наименование, регистрационные номера и другие данные носителей, на которых находятся персональных данных, подлежащие уничтожению (и/или материальные носители персональных данных);
- определить технологию (приём, способ) уничтожения персональных данных (и/или материальных носителей персональных данных);
- определить технические (материальные, программные и иные) средства, посредством которых будет произведено уничтожение персональных данных;
- руководя работой членов комиссии, произвести уничтожение персональных данных (и/или материальных носителей персональных данных);
- оформить соответствующий Акт об уничтожении (о прекращении обработки) персональных данных или Акт об уничтожении съемного носителя персональных данных на утверждение руководителю Общества.
- при необходимости уведомить об уничтожении (прекращении обработки) персональных данных субъекта персональных данных и/или уполномоченный орган.
8.3. Уничтожение персональных данных Обществом осуществляется в течение 30 дней с даты достижения цели обработки персональных данных или с даты поступления отзыва субъектом персональных данных согласия на обработку его персональных данных.
9. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
9.1. Передача третьим лицам персональных данных субъекта осуществляется только в соответствии с настоящим Положением и законодательством Российской Федерации.
9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.
10. Заключительные положения
10.1 Настоящее Положение вступает в силу с момента его утверждения руководителем Общества.
10.2 Настоящее Положение доводится до сведения всех лиц, осуществляющих обработку персональных данных под роспись.