Общие положения
Настоящим Положением определяется порядок обращения с персональными данными работников и клиентов в ООО "РУСКАДАСТР" (далее - Компания).
Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Компании, ее работников и клиентов в связи с необходимостью получения, систематизации, хранения и передачи сведений, составляющих персональные данные.
Сведения о персональных данных работников и клиентов относятся к числу конфиденциальных.
Основные понятия
Для целей настоящего Положения используются следующие основные понятия:
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.
Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Клиент (субъект персональных данных) - физическое лицо, заказчик улуг ООО «РУСКАДАСТР», далее «Организация».
Оператор (в рамках настоящего положения ООО «РУСКАДАСТР») - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные Клиента – информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, паспортные данные, социальное положение, имущественное положение, адрес электронной почты, телефон иные сведения указанные заявителем.
Персональные данные Работника - информация, необходимая Оператору, как работодателю, в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность, в том числе: фамилия, имя, отчество; образование; сведения о трудовом и общем стаже; сведения о составе семьи; паспортные данные; сведения о воинском учете; ИНН; налоговый статус (резидент/нерезидент); сведения о заработной плате работника; сведения о социальных льготах; специальность; занимаемая должность; адрес места жительства; телефон; место работы или учебы членов семьи и родственников; содержание трудового договора; иную, не указанную выше информацию, содержащуюся в личных делах и трудовых книжках сотрудников; информацию, являющуюся основанием к приказам по личному составу; информацию, содержащуюся в страховом свидетельстве обязательного пенсионного страхования, свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям.
Получение персональных данных
Персональные данные получаются Компанией непосредственно у самого работника, клиента с его письменного согласия.
Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие.
Компания должна сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Компания не имеет права получать и обрабатывать персональные данные работника, клиента о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника, клиента могут быть получены и обработаны Компанией только с его письменного согласия.
Право доступа к персональным данным работников имеют:
- Генеральный директор Компании;
- Исполнительный директор;
- Кадастровые инженеры;
- Менеджер по договорной работе;
- Инженеры - геодезисты.
Согласие на использование персональных данных хранится в Организации в бумажном и/или электронном виде.
Обработка персональных данных Клиентов без их согласия осуществляется в следующих случаях:
- Персональные данные являются общедоступными.
- По требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
Обработка персональных данных
К обработке персональных данных работников, клиентов могут иметь доступ только сотрудники Компании, допущенные к работе с персональными данными и подписавшие Соглашение о неразглашении персональных данных.
Поименный перечень сотрудников Компании, имеющих доступ к обработке персональных данных, определяется приказом директора Компании.
Процедура оформления доступа к персональным данным Клиента включает в себя:
- Ознакомление сотрудника под подпись с настоящим Положением.
- Истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных.
Защита персональных данных
Под защитой персональных данных понимается комплекс мер, направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
Компания при защите персональных данных работников, клиентов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:
- Антивирусная защита.
- Обнаружение и предотвращение вторжений.
- Управления доступом.
- Регистрация и учет.
- Обеспечение целостности.
- Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.
Сотрудник Компании, имеющий доступ к персональным данным работников, клиентов в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.
В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные.
При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным по указанию директора.
Хранение персональных данных
Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.
Персональные данные на бумажных носителях и документы, содержащие персональные данные, хранятся в сейфах.
Персональные данные в электронном виде хранятся в локальной компьютерной сети Компании, в электронных папках и файлах в персональных компьютерах сотрудников, допущенных к обработке персональных данных.
В конце рабочего дня все документы, содержащие персональные данные, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
Защита доступа к электронным базам данных, содержащим персональные данные, обеспечивается использованием лицензированных антивирусных программ и разграничением прав доступа с использованием учетной записи.
Передача персональных данных
Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.
При передаче персональных данных работники Организации должны соблюдать следующие требования:
- Не сообщать персональные данные в коммерческих целях.
- Не сообщать персональные данные третьей стороне без письменного согласия работника, клиента за исключением случаев, установленных федеральным законом РФ.
- Предупредить лиц, получающих персональные данные работника, клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Сроки хранения персональных данных
Предельный срок хранения документов, которые содержат информацию о персональных данных работников Компании, составляет 75 лет со дня создания, 50 лет – для документов, созданных после 2003 года.
Срок хранения персональных данных клиентов определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством.
В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе.
Блокировка, обезличивание, уничтожение персональных данных
Порядок блокировки и разблокировки персональных данных
Блокировка персональных данных осуществляется с письменного заявления субъекта и подразумевает:
- Запрет редактирования персональных данных.
- Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).
- Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).
- Изъятие бумажных документов, относящихся к субъекту и содержащих его персональные данные из внутреннего документооборота Компании и запрет их использования.
Блокировка персональных данных может быть временно снята, если это требуется для соблюдения законодательства РФ.
Разблокировка персональных данных осуществляется с письменного согласия(при наличии необходимости получения согласия) или заявления субъекта.
Повторное согласие на обработку его персональных данных (при необходимости его получения) влечет разблокирование персональных данных субъекта.
Порядок обезличивания и уничтожения персональных данных
Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат. Операция уничтожения персональных данных необратима.
При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному субъекту.
Уничтожение персональных данных подразумевает прекращение какого-либо доступа к персональным данным.
Права оператора персональных данных
Компания вправе:
- Отстаивать свои интересы в суде.
- Предоставлять персональные данные работника, клиента третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
- Отказать в предоставлении персональных данных в случаях, предусмотренных законом.
- Использовать персональные данные работника, клиента без его согласия, в случаях предусмотренных законодательством РФ.
Права субъекта персональных данных
Субъект персональных данных имеет право:
- Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Требовать перечень обрабатываемых персональных данных, имеющихся в Компании и источник их получения.
- Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.