Политика конфиденциальности

ПОЛОЖЕНИЕ О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Для целей Положения о работе с персональными данными (далее по тексту–Положение и РТК-Сервис или Общество соответственно), используются следующие основные термины и их определения, сокращения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу https://www.rtk-service.ru/

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Контрагент – любое российское или иностранное юридическое, или физическое лицо, с которым РТК-Сервис вступает в договорные отношения, за исключением трудовых отношений.

Неопределенный круг лиц – лица, которые не могут быть заранее определены в качестве получателей персональных данных субъекта, передаваемых оператором.

Оператор – РТК -Сервис осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В рамках настоящего Положения под оператором понимается РТК-Сервис.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:

  • сбор
  • запись
  • систематизацию
  • накопление, хранение
  • уточнение (обновление, изменение)
  • извлечение
  • использование
  • передачу (распространение, предоставление, доступ)
  • обезличивание
  • блокирование
  • удаление
  • уничтожение

В рамках настоящего Положения термин «Работа с персональными данными» равнозначен термину «Обработка персональных данных».

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному лицу.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ о персональных данных (далее - персональные данные, разрешенные для распространения).

Пользователь – любой посетитель веб-сайта https://www.rtk-service.ru/

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

В рамках настоящего Положения под субъектами персональных данных понимаются работники РТК-Сервис, кандидаты на трудоустройство в Общество, а также посетители веб-сайта https://www.rtk-service.ru/ (Пользователи).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных работников.

ФЗ о персональных данных – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

ТК РФ – Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ.

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение

1.1.1. Настоящее Положение устанавливает общий порядок работы с персональными данными, единые требования к процессу обработки персональных данных.

1.1.2. Настоящее Положение:

  • разработано с учётом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области обработки персональных данных;
  • определяет политику оператора в отношении обработки персональных данных, цели, условия и способы обработки персональных данных, перечни субъектов персональных данных и обрабатываемых в Обществе персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также требования к защите персональных данных.

1.2. Область действия

1.2.1. Настоящее Положение применяется как организационно–распорядительный документ, обязательный для исполнения всеми работниками структурных и обособленных подразделений Общества.

1.2.2. Распорядительные, локальные нормативные и иные внутренние документы Общества не должны противоречить настоящему Положению.

1.3. Период действия и порядок внесения изменений

1.3.1. Настоящее Положение является локальным нормативным документом постоянного действия.

1.3.2. Положение утверждается, вводится в действие, изменяется и признается утратившим силу в Обществе на основании приказа РТК-Сервис.

1.3.3. Инициаторами внесения изменений в Положение является отдел по работе с персоналом, а также иные структурные подразделения Общества по согласованию с отделом по работе с персоналом.

1.4. Взаимосвязь с другими документами

Настоящее Положение применяется во взаимосвязи с прочими локальными нормативными актами Общества


2. КАТЕГОРИИ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Категории персональных данных

К категориям персональных данных относятся:

  • Общие/базовые персональные данные (фамилия, имя, отчество, год и место рождения, адрес, место регистрации номер телефона, электронный адрес, сведения о профессии и пр.);
  • Специальные категории персональных данных (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья и прочие данные названные в ст. 10 ФЗ о персональных данных);
  • Биометрические персональные данные (фото, отпечатки пальцев, и прочие сведения, которые характеризуют физиологические особенности человека и на основании, которых можно установить его личность согласно ст. 11 ФЗ о персональных данных);
  • Другие категории персональных данных (данные документов: паспорта РФ, военного билета, свидетельства о рождении, свидетельства о браке/расторжении брака, об образовании, пенсионного удостоверения, водительского удостоверения, идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счёта, номер контактного телефона и пр.).

2.2. Состав персональных данных

В состав персональных данных Обществом включены:

  • Комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатами на занятие должностей в Обществе – субъектами персональных данных (анкетные и биографические данные);
  • Комплекс документов, сопровождающий процесс оформления трудовых отношений между операторам и субъектами персональных данных (паспорт или иной документ, удостоверяющий личность; трудовая книжка, страховое свидетельство государственного пенсионного страхования; документы воинского учета; документ об образовании, о квалификации или наличии специальных знаний; свидетельство о присвоении идентификационного номера налогоплательщика, сведения о счетах (банковских реквизитах), необходимых для расчетов с субъектом персональных данных (оплата труда, работ, услуг, надбавок, компенсаций и прочих выплат), сведения о праве управления транспортными средствами и т.п.). При оформлении трудовых отношений с субъектом персональных данных Общество обеспечивает заполнение унифицированной формы Т-2 «Личная карточка работника», в которой отражаются следующие анкетные: общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные); сведения о воинском учете; данные о приеме на работу. В дальнейшем в личную карточку вносятся: сведения о переводах на другую работу; сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; сведения об отпусках; сведения о социальных гарантиях; сведения о месте жительства и контактных телефонах.
  • Комплекс документов, сопровождающий работу субъектов персональных данных в Обществе (подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения, и т.п.).
  • Прочие материалы, документы, сведения (о составе семьи, о заработной плате/оплате труда; о социальных льготах; специальность; занимаемая должность; наличие судимостей; место работы или учебы членов семьи и родственников; содержание трудового договора; результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей; фотографии и иные сведения, относящиеся к персональным данным работника; рекомендации, характеристики, и т.п.
  • Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства РТК-Сервис);
  • Документы по планированию, учету, анализу и отчетности в части работы с персоналом оператора.

Перечисленные выше документы являются конфиденциальными, при этом учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

2.3. Перечень персональных данных подлежащих обработке в соответствии с настоящим Положением для каждой цели рекомендован в Приложении № 2 к Положению.


3. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Цели обработки персональных данных

3.1.1. Обработка персональных данных субъектов персональных данных оператором осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, в том числе:

  • Осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на оператора в соответствии с трудовым законодательством, в том числе по предоставлению персональных данных в государственные внебюджетные фонды (Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, и т.п.), в федеральные органы исполнительной власти (Инспекция федеральной налоговой службы, Федеральная служба по труду и занятости (Роструд), Федеральная служба государственной статистики (Росстат), в органы военного управления, а также в иные государственные органы и внебюджетные фонды;
  • Подготовки, заключения, исполнения, прекращения договора гражданско-правового характера, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору;
  • Предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://www.rtk-service.ru/
  • Представительство интересов Оператора перед третьими лицами.

3.1.2. Перечень целей обработки персональных данных рекомендован в Приложении № 2 к настоящему Положению.

3.2. Принципы обработки персональных данных

Обработка персональных данных осуществляется в РТК-Сервис на основе следующих принципов:

  • Обработка персональных данных должна осуществляться на законной и справедливой основе;
  • Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей;
  • Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • Не допускается обработка персональных данных, без надлежащим образом оформленного согласия субъекта на обработку персональных данных (в том числе в случае молчание или бездействия субъекта), если иное не предусмотрено законодательством Российской Федерации;
  • Не допускается обработка персональных данных, не разрешенных субъектом персональных данных, если иное не предусмотрено законодательством Российской Федерации;
  • Не допускается передача персональных данных неопределенному кругу лиц без надлежащим образом оформленного, специального согласия (отдельно от иных согласий) субъекта на обработку персональных данных для распространения, если иное не предусмотрено законодательством Российской Федерации;
  • Субъекту персональных данных должна быть предоставлена: возможность определить перечень персональных данных (по каждой категории) подлежащих указанию в согласии на обработку персональных данных, разрешенных субъектом для распространения; установления запретов на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц;
  • Не допускается передача персональных данных, на которые субъектом установлены запреты на передачу, а также запреты на обработку или условия обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации;
  • Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных;
  • Не допускается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъектов персональных данных;
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
  • Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
  • Оператором должны быть приняты необходимые меры либо обеспечено их принятие по удалению или уточнению неполных, или неточных персональных данных;
  • Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

4. УСЛОВИЯ, СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Условия обработки персональных данных

4.1.1. Обработка персональных данных оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных (соблюдение государственных, общественных и иных публичных интересов, определенных законодательством Российской Федерации).

4.1.2. Источником информации обо всех персональных данных субъекта является непосредственно субъект персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъект персональных данных дать письменное согласие на их получение.

4.1.3. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Российской Федерации.

4.1.4. Согласие субъекта персональных данных на обработку его персональных данных должно быть конкретным, информированным и сознательным.

4.1.5. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

4.1.6. Согласие субъекта персональных данных на обработку его персональных данных должно содержать сведения перечень которых установлен ФЗ о персональных данных и нормативными правовыми актами уполномоченных госорганов по защите прав субъектов персональных данных.

4.1.7. Согласие субъекта персональных данных на обработку его персональных данных (за исключением распространения персональных данных) может быть дано субъектом персональных данных по форме Приложения № 1 к настоящему Положению.

Согласие субъекта персональных данных на обработку его персональных данных для распространения оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных с использованием шаблона, рекомендованного уполномоченным госорганом по защите прав субъектов персональных данных.

4.1.8. Согласие субъекта персональных данных на обработку его персональных данных в части перечня обрабатываемых персональных данных по целям обработки формируется в соответствии с Приложением № 2 к настоящему Положению.

4.1.9. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации о персональных данных.

4.1.10. В целях внутреннего информационного обеспечения оператор может создавать общедоступные внутренние справочные материалы, в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, номер телефона, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

4.1.11. Не подлежат обработке персональные данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев прямо установленных законодательством Российской Федерации.[1]

4.2. Способы обработки персональных данных

4.2.1. Обработка персональных данных оператором осуществляется следующими способами:

  • Неавтоматизированная обработка персональных данных;
  • Автоматизированная обработка персональных данных;
  • Смешанная обработка персональных данных.

4.2.2. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

4.3. Сроки обработки и хранения персональных данных

4.3.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора (трудового или гражданско-правового) заключенного с субъектом персональных данных, сроками хранения документов, содержащих персональные данные (на бумажных и электронных носителях), установленными в Обществе в соответствии с требованиями законодательства, номенклатурой дел, сроком исковой давности, в соответствии с иными требованиями, определяющими сроки обработки персональных данных, установленными актами законодательства и иными нормативно-правовыми актами, а также сроком действия согласия субъекта на обработку его персональных данных.

4.3.2. Дата прекращения обработки персональных данных определяется моментом наступления одного из событий: достигнута цель обработки; истек срок действия согласия субъекта или он отозвал согласие на обработку данных; обнаружена несанкционированная обработка данных; Оператор прекратил свою деятельность.

4.3.3. Оператор обеспечивает хранение персональных данных путем создания условий предусматривающих защиту от доступа посторонних лиц, а также сохранность от утери, порчи, кражи и уничтожения персональных данных.

4.3.4. Хранение персональных данных осуществляется двумя способами на:

  • бумажном носителе информации;
  • на электронном носителе.

4.3.5. Хранение согласия на обработку персональных данных обеспечивается Оператором в течение 3 (трех) лет после истечения срока действия согласия, или после его отзыва субъектом персональных данных.


5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Категории субъектов персональных данных

В Обществе осуществляется обработка персональных данных следующих категорий Субъектов:

  • Работников Общества;
  • Лиц, принятых в Общество для прохождения практики;
  • Кандидатов на вакантные должности;
  • Лиц, принятых для прохождения практики;
  • Уволенных работников;
  • Родственников работников;
  • Членов органов управления Общества, членов ревизионной комиссии Общества;
  • Кандидатов в органы управления Общества, в ревизионную комиссию Общества;
  • Лиц, обработка персональных данных которых связана с исполнением договоров, стороной которого либо выгодоприобретателем по которому является субъект персональных данных;
  • Представителей контрагентов Общества, включая контактных лиц контрагентов; представителей субъектов персональных данных, уполномоченных на представление их интересов;
  • Посетителей https://www.rtk-service.ru/ (Пользователей);
  • Других субъектов персональных данных (для обеспечения реализации целей обработки персональных данных, установленных в настоящем Положении).

5.2. Права субъектов персональных данных

Субъекты персональных данных, персональные данные которых обрабатываются оператором, имеют право на:

  • получение полной информации об обработке оператором его персональных данных;
  • уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отзыв согласия на обработку персональных данных;
  • обжалование действия или бездействия оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
  • установление в согласии на обработку персональных данных запрета на передачу (кроме получения доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц;
  • защиту своих прав и законных интересов, в том числе на возмещение убытков и / или компенсацию морального вреда в судебном порядке;
  • осуществление иных прав, предусмотренных законодательством Российской Федерации о персональных данных.

6. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Права оператора персональных данных

Оператор, обрабатывающий персональные данные, имеет право:

  • получать документы, содержащие персональные данные от субъектов персональных данных либо от представителей субъекта персональных данных;
  • требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных;
  • в случае отзыва субъектом персональных данных согласия на обработку своих
  • в случае отзыва субъектом персональных данных согласия на обработку персональных данных, а также направления обращения с требованием о прекращении обработки персональных данных, оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством Российской Федерации;
  • Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных иди другими федеральными законами.

6.2. Обязанности оператора персональных данных

Оператор, обрабатывающий персональные данные, обязан:

  • осуществлять обработку персональных данных субъектов с соблюдением принципов и правил, предусмотренных действующим законодательством Российской Федерации о персональных данных и внутренними документами оператора в области обработки персональных данных;
  • сообщать субъекту персональных данных или его законному представителю по его запросу информацию о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных;
  • уведомлять субъектов персональных данных до начала обработки их персональных данных в случаях, если персональные данные получены не от субъекта персональных данных;
  • обеспечить субъектам персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных для распространения;
  • не позднее трех рабочих дней с момента получения согласия субъекта персональных данных для распространения, опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных;
  • по требованию субъекта персональных данных прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения. В случае если требование субъекта персональных данных связано с несоблюдением норм законодательства в части особенностей обработки персональных данных разрешенных субъектом для распространения, оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
  • безвозмездно предоставить возможность ознакомления субъекта персональных данных или его законного представителя с персональными данными субъекта персональных данных при получении соответствующего запроса;
  • принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его либо его законного представителя обращением с законными и обоснованными требованиями.

7. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Меры, принимаемые при обработке персональных данных

7.1.1. Оператор принимает следующие меры, необходимые для обеспечения выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации о персональных данных, включая, но не ограничиваясь:

  • назначение лица (лиц), ответственного за организацию обработки персональных данных в Обществе;
  • применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, настоящим Положением;
  • оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения оператором законодательства Российской Федерации о персональных данных и, исходя из указанной оценки, принятие решения о перечне мер, необходимых для обеспечения безопасности персональных данных;
  • ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящим Положением, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
  • при обработке персональных данных, осуществляемой без использования средств автоматизации, выполнение требований, установленных постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • уведомление в установленных законодательством Российской Федерации о персональных данных случаях уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных;
  • осуществление обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, а также прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Российской Федерации о персональных данных;
  • при обработке персональных данных, осуществляемой в информационных системах персональных данных, выполнение требований, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах;
  • применение иных мер, предусмотренных законодательством Российской Федерации о персональных данных.

7.1.2. Все меры конфиденциальности при обработке персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации о персональных данных субъектов.

7.2. Доступ к персональным данным

7.2.1. Правом внутреннего доступа (доступ внутри РТК-Сервис) к персональным данным, ставших известными оператору имеют:

  • органы управления РТК-Сервис;
  • работники Общества, в чьи должностные обязанности входит анкетирование, тестирование; проведение собеседований с кандидатами на занятие должностей в Обществе – субъектами персональных данных;
  • работники Общества, в чьи должностные обязанности входит работа с персоналом (оформление трудовых отношений, прием, перемещение, увольнение, направление в служебные поездки, учет отработанного времени, охрана труда, оплата труда, и т.п.);
  • лица, задействованные Обществом в целях обеспечения системы оплаты труда (работ, услуг);
  • непосредственно субъект персональных данных;
  • иные лица, допущенные на основании приказа РТК-Сервис.

7.2.2. Правом внешнего доступа к персональным данным, ставших известными Обществу, обладают государственные и негосударственные функциональные структуры:
налоговые инспекции;

  • правоохранительные органы;
  • органы статистики;
  • страховые агентства;
  • военкоматы;
  • органы социального страхования;
  • пенсионные фонды;
  • подразделения муниципальных органов управления.

7.2.3. Доступ иных организаций и лиц (включая членов семьи субъекта) к персональным данным, ставших известными Обществу, разрешается исключительно с согласия субъекта персональных данных.

7.3. Уничтожение персональных данных

7.3.1. Уничтожение (обезличивание) персональных данных осуществляется в следующих случаях:

  • выявление неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
  • требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отзыва субъектом персональных данных согласия на обработку его персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
  • достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;
  • истечения сроков хранения персональных данных, установленных нормативно-правовыми актами Российской Федерации;
  • признания недостоверности персональных данных или получения их незаконным путем по требованию уполномоченного органа по защите прав субъектов персональных данных;
  • в иных установленных законодательством случаях.

7.3.2. Для выявления случаев, указанных выше оператор назначает ответственное лицо (ответственных лиц), которое отслеживает работу с персональными данными, выявляет случаи, при которых должно быть обеспечено уничтожение персональных данных, обрабатывает запросы от субъектов персональных данных, государственных органов по вопросам уничтожения персональных данных, обеспечивает обратную с последними. Ответственное лицо назначается приказом РТК-Сервис.

7.3.3. Уничтожение персональных допускается по решению специальной комиссии, члены которой назначаются приказом РТК-Сервис. Комиссия может быть создана на неопределенный срок.

До принятия решения об уничтожении персональных данных комиссия проверяет обоснованность необходимости уничтожения персональных данных.

7.3.4. Уничтожение персональных данных осуществляется двумя способами в зависимости от типа носителя информации (бумажный или электронный):

  • физическое уничтожение носителя (уничтожение через шредерование, сжигание);
  • уничтожение информации с носителя (многократная перезапись в секторах магнитного диска).

7.3.5. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

7.3.6. После уничтожения персональных данных составляется акт об уничтожении материальных носителей, содержащих персональные данные, который подписывается членами комиссии.

7.4. Предоставление персональных данных

7.4.1. Оператор в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями законодательства Российской Федерации либо с согласия субъекта персональных данных.

7.4.2. Согласие субъекта персональных данных на передачу его персональных данных может быть дано по форме Приложения № 1 к настоящему Положению.

7.4.3. Обязательным условием предоставления персональных данных третьем лицам является обеспечение конфиденциальности персональных данных при их обработке.

В целях обеспечения конфиденциальности персональных данных, переданных третьим лицам, оператор должен предупредить лиц, получивших персональные данные субъекта о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

7.4.4. Оператор передает персональные данные субъекта представителям последнего в порядке, установленном ТК РФ, и ограничивает эту информацию только теми персональными данными субъекта, которые разрешены последним и необходимы для выполнения указанными представителями их функции.

7.5. Распространение персональных данных

7.5.1. Оператор в ходе своей деятельности может распространять персональные данные (например, размещать их на сайте РТК-Сервис) субъектов исключительно с согласия субъекта персональных данных (за исключением случаев обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации).

7.5.2. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных

7.5.3. Согласие субъекта персональных данных на обработку его персональных данных для распространения оформляется с использованием шаблона, рекомендованного уполномоченным госорганом по защите прав субъектов персональных данных.

7.5.4. Субъект персональных данных вправе самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ.

7.5.5. Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах в течение трех рабочих дней Публикация такой информации осуществляется в том же месте, где опубликованы (распространены) персональные данные.

7.5.6. Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда обработка персональных данных субъекта осуществляется в государственных, общественных или иных публичных интересах.


8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.

8.1. ООО «РТК – Сервис» предпринимает необходимые организационные и технические меры по защите персональных данных. Принимаемые меры основаны на требованиях ст. 18.1, ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В частности:

  • Назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;

  • Лица, ведущие обработку персональных данных, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;

  • Определены места хранения бумажных носителей, содержащих персональные данные;

  • Разграничены права доступа к обрабатываемым персональным данным. Помимо вышеуказанных мер, осуществляются меры технического характера, направленные на: предотвращения несанкционированного доступа к местам хранения персональных данных; иные необходимые меры.


9. ОТВЕТСТВЕННОСТЬ

  • За несоблюдение настоящего Положения работники Общества несут ответственность, предусмотренную действующим законодательством Российской Федерации и локальными нормативными актами Общества. Несоблюдение работниками Общества настоящего Положения признается нарушением ими своих должностных обязанностей.
  • Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных субъекта привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

[1] п. 2 ст. 10 ФЗ о персональных данных