Политика в отношении обработки и защиты персональных данных

Термины и определения

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация ограниченного доступа - информация, доступ к которой ограничен федеральными законами.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператор -государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Работник - физическое лицо, вступившее в трудовые отношения с работодателем.

Работодатель - общество с ограниченной ответственностью «РУСЭНЕРГОРЕСУРС», вступившее в трудовые отношения с работником.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трудовые отношения - отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции (работы по определенной должности, специальности, квалификации), подчинении работника правилам внутреннего трудового распорядка при обеспечении условий труда, предусмотренных трудовым законодательством, коллективным договором, соглашениями.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1. Общие положения

  • Политика общества с ограниченной ответственностью «РУСЭНЕРГОРЕСУРС» в отношении обработки персональных данных и реализуемых требований по защите (далее Политика) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 07.2006 № 152 «О персональных данных» и другими нормативно-правовыми актами Российской Федерации.
  • Настоящая Политика устанавливает требования к обработке и защите персональных данных, обрабатываемых информационными системами общества с ограниченной ответственностью «РУСЭНЕРГОРЕСУРС» (далее Компания). Компания является оператором персональных данных.
  • Организация обеспечения безопасности персональных данных в Компании возлагается на лица, ответственные за организацию обработки персональных данных, назначенные приказом генерального директора.

2. Цели сбора и обработки персональных данных

    2.1 Компания обрабатывает только те персональные данные, которые необходимы для оказания услуг и выполнения договорных обязательств, а также в соответствии с требованиями законодательства РФ.

    2.2 Персональные данные, обрабатываемые в Компании, могут использоваться в следующих целях:

    • персональные данные работников Компании:
      • прием и увольнение работника;
      • перевод работника на другую работу;
      • оформление всех видов отпусков;
      • оформление командировок;
      • ведение штатного расписания;
      • оформление личной карточки работника;
      • ведение табеля учета рабочего времени;
      • начисление заработной платы;
      • оформление банковских зарплатных карт;
      • перечисление заработной платы на банковские зарплатные карты;
      • учет и оформление командировочных расходов;
      • расчет и перечисление отпускных на зарплатную карту работника;
      • расчет больничных листов работников Компании;
      • расчет работников Компании при их увольнении;
      • сдача отчетности по страховым взносам в Пенсионный фонд Российской Федерации;
      • сдача отчетности в Федеральную налоговую службу;
      • оформление иных документов, связанных с исполнением трудовых отношений с работником.
    • персональные данные родственников работников Компании:
      • для осуществления и выполнения функций, полномочий и обязанностей, предусмотренных Трудовым кодексом Российской Федерации, в частности статьями 228-230.
    • персональные данные участников (учредителей), членов коллегиальных органов и аффилированных лиц Компании:
      • для выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию, в частности: Федеральным законом от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» и Федеральным законом от 02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
    • персональные данные соискателей на вакантные должности Компании:
      • поиск и привлечение персонала;
      • создание, хранение, изменение базы резюме;
    • персональные данные посетителей Компании:
      • осуществление контрольно-пропускного режима;
    • персональные данные работников контрагентов Компании:
      • осуществления прав и законных интересов Компании в рамках гражданско- правовых отношений с контрагентами при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

    3. Персональные данные, обрабатываемые Компанией

    3.1 Компания осуществляет обработку персональных данных в объеме, определяемом перечнем сведений, составляющих персональные данные:

    • персональные данные работников Компании:
      • фамилия, имя, отчество;
      • дата и место рождения;
      • гражданство;
      • пол;
      • семейное положение;
      • адрес регистрации и фактического проживания;
      • адрес временной регистрации (если прибыл из другого региона);
      • контактная информация (номер телефона, адреса электронной почты);
      • информация о составе и членах семьи;
      • информация об образовании;
      • паспортные данные (общегражданский паспорт, заграничный паспорт);
      • данные водительских прав;
      • свидетельство о постановке на учёт в налоговый орган и присвоении ИНН;
      • страховое свидетельство государственного пенсионного страхования;
      • сведения о воинском учете;
      • данные водительских прав;
      • данные об изображении лица (фото);
      • данные банковской (зарплатной) карты;
      • данные банковского счета;
      • информация об отсутствии/наличии судимости;
      • информация о нахождении под следствием;
      • информация о привлечении к административной ответственности;
      • сведения о кредитной истории;
      • содержание трудового договора;
      • содержание декларации, подаваемой в налоговую инспекцию;
      • сведения, содержащиеся в личной карточке Т-2;
      • сведения о размере заработной платы;
    • персональные данные родственников работников Компании:
      • фамилия, имя отчество;
      • место работы, должность;
      • домашний адрес;
      • контактный телефон;
    • персональные данные участников (учредителей), членов коллегиальных органов и аффилированных лиц Компании:
      • фамилия, имя, отчество;
      • дата рождения;
      • паспортные данные;
      • контактные телефоны и адреса;
      • иные сведения, предоставляемые в соответствии с законодательством РФ.
    • персональные данные соискателей на вакантные должности Компании:
      • фамилия, имя, отчество;
      • дата рождения, возраст;
      • место рождения;
      • место фактического проживания;
      • контактная информация;
      • образование;
      • дополнительные знания и навыки;
      • ожидаемый уровень дохода;
      • трудовая биография;
      • состав семьи;
      • хобби, занятие спортом;
      • личностные качества;
    • персональные данные посетителей Компании:
      • паспортные данные посетителя;
    • персональные данные работников контрагентов Компании:
      • фамилия, имя, отчество;
      • дата рождения;
      • паспортные данные;
      • сведения о регистрации по месту жительства;
      • ИНН;
      • контактные телефоны и адреса.

    3.2 Информация, относящаяся к персональным данным, может содержаться:

    • на бумажных носителях;
    • на электронных носителях;
    • в информационно-телекоммуникационных сетях и иных информационных системах.

    3.3 Компания самостоятельно устанавливает способы обработки персональных данных в зависимости от целей такой обработки и материально-технических возможностей Компании.

    3.4 Персональные данные, обрабатываемые Компанией, могут содержаться в следующих документах (копиях указанных документов):

    • персональные данные работников Компании:
      • паспорт (или иной документ, удостоверяющий личность);
      • трудовая книжка;
      • страховое свидетельство государственного пенсионного страхования;
      • свидетельство о постановке на учёт в налоговый орган и присвоении ИНН;
      • водительское удостоверение;
      • свидетельства о браке/разводе;
      • свидетельство о рождении детей;
      • справка из ЗАГСа;
      • документы воинского учёта – для военнообязанных и лиц, подлежащих призыву на военную службу;
      • документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки;
      • трудовой договор;
      • приказы по личному составу: о приеме и увольнении работника, о переводе работника на другую работу, о предоставлении всех видов отпусков, о направлении в командировку;
      • основания (заявления и иные документы) к приказам по личному составу;
      • справки, выдаваемые по требования работнику для предоставления по месту требования;
      • личная карточка работника (форма Т-2);
      • штатное расписание (форма Т-3);
      • табели учета рабочего времени;
      • реестр заработной платы и другие документы, содержащие сведения об оплате труда;
      • отчетность по страховым взносам в Пенсионный фонд РФ;
      • отчетность в ФНС;
      • анкета соискателя;
      • резюме;
      • характеристики работников, выдаваемые отделом управления персоналом;
      • больничные листы;
      • обходные листы;
      • командировочные документы;
      • другие документы, содержащие персональные данные, необходимые работодателю в рамках трудовых отношений с работником, в том числе предъявляемые в отдельных случаях в соответствии с действующим законодательством Российской Федерации при заключении трудового договора (например, результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей).
    • персональные данные родственников работников Компании:
      • свидетельства о браке/разводе;
    • свидетельство о рождении детей;
    • справка из ЗАГСа;
    • личная карточка (форма Т-2);
    • анкета кандидата.
    • иные документы, необходимые работодателю в рамках трудовых отношений с работником.
    • персональные данные участников (учредителей), членов коллегиальных органов и аффилированных лиц Компании:
      • список участников/учредителей Компании;
      • анкеты членов коллегиальных органов Компании;
      • материалы для заседаний коллегиальных органов Компании;
      • другие документы, содержащие персональные данные и предназначенные для использования в служебных целях.
    • персональные данные соискателей на вакантные должности Компании:
      • анкета кандидата;
      • резюме соискателя;
      • при необходимости, характеристики соискателя с прежних мест работы.
    • персональные данные посетителей Компании в журнале учета посетителей.
    • персональные данные работников контрагентов Компании:
      • доверенности;
      • журнал учета доверенностей;
      • договоры с контрагентами;
      • протоколы совещаний.

    4. Условия получения (сбора) персональных данных, обрабатываемых Компанией, и ее передачи третьим лицам

    4.1. Получение (сбор) персональных данных

    4.1.1 Сбор персональных данных, обрабатываемых Компанией, может осуществляться исключительно в целях, определенных в пункте 2 настоящей Политики.

    4.1.2 Объем и характер обрабатываемых персональных данных, а также способы обработки персональных данных должны соответствовать целям обработки персональных данных.

    4.1.3 Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.

    4.1.4 Персональные данные могут быть получены как от субъекта персональных данных, так и от третьей стороны, в случаях предусмотренных законодательством РФ.

    4.1.5 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения, форме. Согласие на обработку персональных данных работников Компании и соискателей на вакантные должности Компании осуществляется только в письменной форме.

    4.1.6 В отношении персональных данных сохраняется их конфиденциальность, кроме случаев, когда субъект добровольно предоставляет информацию о себе с целью предоставления к ней доступа неограниченного круга лиц.

    4.2. Передача персональных данных

    4.2.1. Запрещается передавать персональные данные третьей стороне без согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством РФ.

    4.2.2. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи, а также представителям субъекта только с разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.

    4.2.3. Компания вправе поручить обработку персональных данных другому лицу при выполнении следующих условий:

    • поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора;
    • получено согласие субъектов на поручение обработки их персональных данных другому лицу.

    4.2.4. При обработке персональных данных Компания руководствуется Конституцией Российской Федерации; Трудовым кодексом Российской Федерации; Федеральным законом РФ №152-ФЗ «О персональных данных», а также другими нормативно- правовыми актами Российской Федерации.

    5. Права субъектов на защиту своих персональных данных

    5.1. В целях обеспечения защиты своих персональных данных субъект имеет право:

    • получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
    • осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ;
    • требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательством РФ (субъект персональных данных, при отказе Компании или уполномоченного им лица исключить или исправить персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения);
    • на отзыв согласия на обработку своих персональных данных в установленной законодательством РФ форме;
    • требовать от Компании или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях, исключениях или дополнениях;
    • обжаловать в суде любые неправомерные действия или бездействие Компании, или уполномоченного ею лица при обработке и защите персональных данных;
    • вносить предложения по мерам защиты персональных данных.

    6. Защита персональных данных

    6.1. Защита прав субъектов персональных данных от неправомерного использования их персональных данных или их утраты обеспечивается Компанией, в установленном действующим законодательством РФ и локальными актами Компании порядке, выполнением комплекса организационно-технических мер, обеспечивающих их безопасность.

    6.2. Для осуществления мероприятий по обеспечению безопасности персональных данных в Компании приказом Генерального директора, назначаются:

    • лицо, ответственное за организацию обработки персональных данных;
    • лицо, ответственное за физическую безопасность персональных данных;
    • комиссия по вопросам обработки и защиты персональных данных.

    6.3. Получение и обработка уполномоченными лицами персональных данных производится после подписания субъектом персональных данных согласия на обработку его персональных данных, в случаях, если это требуется законодательством РФ.

    6.4. Документы, содержащие персональные данные, должны храниться в надежно запираемых хранилищах (допускается их хранение в не запираемых шкафах, при условии, что бесконтрольный доступ посторонних лиц в хранилища (кабинеты) исключен).

    6.5. Хранение персональных данных в структурных подразделениях Компании, работники которых имеют допуск к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.

    6.6. Организация защиты персональных данных в информационных системах Компании осуществляется в рамках действующей в Компании системы защиты информации. Доступ к информационным системам Компании, содержащим персональные данные, обеспечивается системой паролей, а так же программно-техническими средствами защиты информации.

    6.7. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность технических средств и средств защиты информации, обрабатывающих персональные данные, а также самих персональных данных, исключать возможность бесконтрольного проникновения в них посторонних лиц.

    6.8. В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся носители персональных данных, а также от помещений, где находятся средства вычислительной техники, предназначенные для обработки персональных данных, находятся на хранении у ответственных работников.

    6.9. По окончании рабочего времени помещения, предназначенные для обработки персональных данных, должны быть закрыты на ключ, бесконтрольный доступ в такие помещения должен быть исключен.

    6.10. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

    6.11. Компания не имеет права принимать решения, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

    6.12. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

    6.13. Все меры конфиденциальности при сборе, обработке и хранении персональных данных работника распространяются как на бумажные, так и на электронные носители информации.