ПОЛИТИКА
в отношении обработки персональных данных в ООО «ТВК-Р»
-
Основные термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
-
Общие положения
-
Настоящая Политика в отношении обработки персональных данных в ООО «ТВК-Р» (далее – Политика) является официальным документом, в котором определены общие принципы, цели и порядок обработки персональных данных (далее – ПДн), а также сведения о реализуемых мерах защиты ПДн.
-
Настоящая Политика распространяется на всех работников ООО «ТВК-Р» (далее – Оператор), а также на работников сторонних организаций, взаимодействующих с Оператором на основании соответствующих договоров, нормативных, правовых и организационно-распорядительных документов.
-
Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой Политикой.
-
-
Цели сбора ПДн
-
Исполнение требований ТК РФ.
-
Исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога.
-
Исполнение требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение.
-
Исполнение Оператором функции работодателя (ведение личных дел работников, исчисление стажа, организация командировок, создание визитных карточек).
-
Предоставление информации о субъекте.
-
Осуществление социальных выплат и других видов социальной помощи;
-
Выполнение договорных обязательств.
-
Обеспечение пропускного режима, сохранности имущества Оператора, обеспечение личной безопасности работников.
-
Содействия в трудоустройстве и выборе подходящей должности.
-
Формирования кадрового резерва.
-
Продвижения товаров, работ, услуг.
-
-
Правовые основания обработки ПДн
-
Оператор обрабатывает ПДн в соответствии со следующими нормативными и правовыми актами:
- ст. 86-90 Трудового кодекса Российской Федерации;
- постановление Госкомстата РФ от 05 января 2004г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
- ст. 24 Налогового кодекса РФ; Федеральный закон от 29 декабря 2006г. №255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- ст. 4 Федерального закона от 28.03.1998г. №53-ФЗ «О воинской обязанности и военной службе»;
- Федеральный закон от 1 января 2013г. №402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15 декабря 2001г. №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 29 ноября 2010г. №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Устав Оператора.
-
-
Объем и категории обрабатываемых ПДн, категории субъектов ПДн
-
Оператор осуществляет обработку следующих категорий ПДн:
Категория субъектов ПДн Категория обрабатываемых ПДн Объем обрабатываемых ПДн Работники, бывшие работники, ближайшие родственники работников, кандидаты, ближайшие родственники бывших работников Иные категории ПДн Менее 100 000 субъектов Работники Биометрические категории ПДн Менее 100 000 субъектов Клиенты Иные категории ПДн Более 100 000 субъектов Кандидаты Иные категории ПДн Менее 100 000 субъектов -
-
Порядок и условия обработки ПДн
-
Обработка ПДн осуществляется на законной и справедливой основе.
-
Обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
-
Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
-
Обработке подлежат только ПДн, которые отвечают целям их обработки.
-
Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
-
Обрабатываемые ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.
-
Хранение материальных носителей ПДн осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются приказом об утверждении мест хранения материальных носителей ПДн, ограничиваются территорией ООО «ТВК-Р».
-
На сайте www.tabris.ru присутствуют сервисы по сбору данных о посетителях сайта Google analytics, Яндекс.Метрика.
-
Сбор персональных данных так же осуществляется посредством специально разработанных электронных форм размещенных на сайте www.tabris.ru, с последующим хранением информации на сервере ООО «ТВК-Р»
-
Сбор персональных данных осуществляется путем заполнения анкет кандидатов на вакансию.
-
-
Условия и сроки прекращения обработки персональных данных
-
Оператор прекращает обработку персональных данных и уничтожает носители персональных данных и удаляет их из информационных систем персональных данных в случаях:
-
достижения целей обработки персональных данных или максимальных сроков хранения;
-
утраты необходимости в достижении целей обработки персональных данных;
-
предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
-
отзыва субъектом персональных данных согласия на обработку его персональных данных;
-
истечения сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
-
-
В соответствии со статьей 21, частью 5 Федерального закона от 27 июля 2006г. №152-ФЗ «О персональных данных» Оператор не прекращает обработку персональных данных Субъекта и не уничтожает их в следующих случаях:
-
иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект;
-
Оператор вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных федеральными законами;
-
не истекли сроки обработки персональных данных Субъекта, установленные федеральными законами РФ и иными нормативными актами.
-
-
-
Меры обеспечения безопасности ПДн
-
Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
-
Для обеспечения защиты персональных данных, обрабатываемых в информационных системах персональных данных Оператора проводятся следующие мероприятия:
-
Назначение ответственных лиц за организацию обработки и обеспечение защиты персональных данных;
-
Ограничение состава работников Оператора, имеющих доступ к персональным данным;
-
Определение уровня защищенности персональных данных при обработке в информационных системах персональных данных;
-
Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
-
Установление правил разграничения доступа к персональным данным, обрабатываемым в информационных системах персональных данных и обеспечение регистрации и учета всех действий, совершаемых с персональными данными;
-
Ограничение доступа в помещения, где размещены основные технические средства и системы информационных систем персональных данных и осуществляется неавтоматизированная обработка персональных данных. Места хранения персональных данных ограничиваются территорией организации;
-
Организация резервирования и восстановления работоспособности информационных систем персональных данных и персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
Установление требований к сложности паролей для доступа к информационным системам персональных данных;
-
Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
-
Осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;
-
Организация своевременного обновления программного обеспечения, используемого в информационных системах персональных данных и средств защиты информации;
-
Проведение регулярной оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
-
Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по установлению причин и устранению возможных последствий;
-
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
-
-
-
Рассмотрение запросов субъектов персональных данных или их представителей
-
Общество обязано сообщить в порядке, предусмотренном статьей 14 Закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
-
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
-
Общество обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие 6 персональные данные. Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
-
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
-
-
Заключительные положения
-
Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн.
-
Иные права и обязанности Оператора, определяются Федеральным законом «О персональных данных» и иными нормативными правовыми актами в области защиты ПДн.
-
Должностные лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
-