Политика ООО «ЧОП «Дозор-Плюс» в отношении обработки персональных данных
УТВЕРЖДЕНА
приказом Директора ООО «ЧОП «Дозор-Плюс»
от «28» июля 2023 года №249
ПОЛИТИКА
обработки и защиты персональных данных в Обществе с ограниченной ответственностью
«Частное охранное предприятие «Дозор-Плюс»
1. Общие положения
1.1.Настоящая Политика регулирует отношения, связанные с обработкой персональных данных, включающие в себя производимые Обществом с ограниченной ответственностью «Частное охранное предприятие «Дозор-Плюс» (далее – Предприятие) действия по получению, обработке, хранению, передаче персональных данных, полученных от субъекта персональных данных, или иному их использованию, с целью защиты персональных данных от несанкционированного доступа, а также неправомерного их использования и утраты.
1.2. Предприятие осуществляет обработку персональных данных, руководствуясь:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Федеральным законом N 149-ФЗ от 27.07.2006 "Об информации, информационных технологиях и о защите информации";
- Федеральным законом N 152-ФЗ от 27.07.2006 "О персональных данных" (далее - Закон о персональных данных);
- Законом РФ № 2487-1 от 11.03.1992 «О частной детективной и охранной деятельности в Российской Федерации»;
- настоящей Политикой;
- локальными нормативно-правовыми актами Предприятия, разработанными в развитие настоящей Политики;
- иными нормативно-правовыми актами в области обработки и защиты персональных данных;
- трудовыми договорами;
- согласиями работников на обработку персональных данных.
1.3. Предприятие публикует Политику в свободном доступе, размещая ее на своем официальном сайте в информационно-телекоммуникационной сети «Интернет».
2. Понятие и состав персональных данных
2.1. Под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Категории субъектов, персональные данные которых обрабатываются Предприятием:
- работники Предприятия;
- уволенные работники Предприятия;
- кандидаты на замещение вакантных должностей на Предприятии;
- направляемые в командировку работники иных организаций.
2.3. К персональным данным работника относятся:
- фамилия, имя, отчество;
- пол, возраст;
- сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
- место жительства;
- семейное положение, наличие детей, состав семьи, родственные связи;
- факты биографии и предыдущая трудовая деятельность (в том числе место работы, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение, сведения о заработной плате;
- паспортные данные;
- сведения о воинском учете;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- размер заработной платы;
- наличие судимостей;
- номера телефонов;
- содержание трудового договора;
- подлинники и копии приказов по личному составу;
- личные дела, трудовые книжки и сведения о трудовой деятельности [1];
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям, привлечению к дисциплинарной ответственности, поощрении;
- копии отчетов, направляемых в органы статистики и СФР;
- сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии и иные сведения, относящиеся к персональным данным работника;
- принадлежность лица к конкретной нации, этнической группе, расе;
- религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.);
- деловые и иные личные качества, которые носят оценочный характер.
Из указанного списка Предприятие вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.
2.4. Указанные сведения являются конфиденциальными.
2.5. Документами, содержащими персональные данные работников, являются:
- комплект документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплект материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТД-Р);
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних служебных расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- копии отчетов, направляемых в государственные контролирующие органы;
- др. документы, содержащие персональные данные работника.
3. Обработка персональных данных работника и гарантии их защиты
3.1. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.2. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных работника должны соблюдаться следующие общие требования:
- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения сохранности имущества;
- при определении объема и содержания обрабатываемых персональных данных работника представители Предприятия должны руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
- все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работнику сообщается о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
- обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, членства в общественных объединениях, профсоюзной деятельности не допускается, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Предприятие вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
- при принятии решений, затрагивающих интересы работника, Предприятие не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3. Обработка персональных данных работников возможна только с их согласия. Исключение составляют случаи, предусмотренные законодательством Российской Федерации.
3.4. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Предприятием за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации, иными федеральными законами и настоящей Политикой.
3.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4. Доступ и передача персональных данных работника
4.1. Право доступа к персональным данным работника имеют:
- директор;
- заместители директора;
- сотрудники отдела кадров;
- сотрудники по охране труда - к тем данным, которые необходимы для выполнения конкретных функций;
- сотрудник по направлению лицензионно-разрешительной работы - к тем данным, которые необходимы для выполнения конкретных функций;
- сотрудники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;
- юрисконсульт - к тем данным, которые необходимы для выполнения конкретных функций;
- начальники охраны объектов (доступ к личным данным только работников своего подразделения);
- иные сотрудники - к тем данным, которые необходимы для выполнения конкретных функций, на основании приказа директора;
- сам работник, носитель данных.
Сотрудники Предприятия, допущенные к персональным данным работников, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных работников они не допускаются.
4.2. При передаче персональных данных работника Предприятие должно соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
4.3. Все сведения о передаче персональных данных работника учитываются для контроля правомерности использования данной информации лицами, ее получившими.
4.4. Передача информации, содержащей сведения о персональных данных работников, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
4.5. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках.
4.7. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
4.8. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
4.9. В случае подтверждения факта неточности персональных данных Предприятие на основании сведений, представленных работником или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений.
4.10. В случае выявления неправомерной обработки персональных данных Предприятие в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных.
4.11. В случае отзыва работником согласия на обработку его персональных данных Предприятие обязано прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
Отзыв должен включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Предприятие осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
4.12. Не требуется согласие работника на передачу персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Социальный Фонд России в объеме, предусмотренном действующим законодательством Российской Федерации;
- в налоговые органы;
- в военные комиссариаты;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства Работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей;
- в кредитную организацию, обслуживающую зарплатные карты работников.
4.13. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
4.14. В целях обеспечения конфиденциальности документы, содержащие персональные данные работников, оформляются, ведутся и хранятся в соответствии с локальными правовыми документами Предприятия.
5. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
5. В целях обеспечения защиты персональных данных работники имеют право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.3. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством Российской Федерации. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.4. Требовать от Предприятия извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.5. Обжаловать в суд любые неправомерные действия или бездействие Предприятия при обработке и защите персональных данных.
5.6. Определять своих представителей для защиты своих персональных данных.
6. Обязанности работника
6. Работник обязан:
6.1. Передавать сотрудникам отдела кадров комплект достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации и которые необходимы как для исполнения трудовой функции, так и для получения различного рода льгот, влияющих на размер пособия по нетрудоспособности (например, информация об инвалидности и др.).
6.2. Своевременно в разумный срок, не превышающий 10 календарных дней, сообщать в отдел кадров информацию об изменении своих персональных данных.
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
7.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.
8. Заключительные положения
8.1. Настоящая Политика вступает в силу с момента ее утверждения.
8.2. Предприятие обеспечивает неограниченный доступ к настоящему документу.
8.3. Настоящая Политика и изменения к ней утверждаются директором и вводятся приказом.
8.4. Все работники и их представители должны быть ознакомлены под подпись с настоящей Политикой и изменениями к ней.
[1] С 01.01.2020 в соответствии с ч. 1 ст. 66.1 Трудового кодекса Российской Федерации работодатель формирует в электронном виде основную информацию о трудовой деятельности и трудовом стаже каждого работника и представляет ее в порядке, установленном законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования, для хранения в информационных ресурсах Социального фонда России.