УТВЕРЖДАЮ
Генеральный директор ООО «МайтТраст»
А.В. Тюленев
20 апреля 2014 года
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «МАЙТТРАСТ»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее «Положение об обработке и защите персональных данных в ООО «МайтТраст» (далее «Положение») определяет порядок, условия и сроки обработки персональных данных в ООО «МайтТраст» (адрес места нахождения: (далее - Компания).
1.2. Настоящее Положение разработано в соответствии с действующим законодательством РФ:
1.2.1. Трудовым кодексом Российской Федерации (от 30.12.2001 № 197-ФЗ);
1.2.2. Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
1.2.3. Федеральным законом Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.3. В настоящем Положении используются следующие основные понятия:
1.3.1. Персональные Данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.3.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.3.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.3.4. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.3.5. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.3.6. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.3.7. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.3.8. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.3.9. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
1.3.10. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.3.11. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.3.12. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
1.4. Цель разработки Положения - определение порядка обработки персональных данных работников, бывших работников Компании (далее - «Работники») и иных субъектов персональных данных (далее именуемые - «Субъекты персональных данных»), персональные данные которых подлежат обработке и защите на основании полномочий Компании как оператора персональных данных; а также установление ответственности субъектов, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.5. Положение распространяется на все подразделения Компании, участвующие в процессах обработки персональных данных.
1.6. Положение обязательно для исполнения субъектами, участвующими в процессах обработки и защиты персональных данных. Неисполнение Положения может повлечь дисциплинарную, гражданско-правовую, административную и уголовную ответственность.
1.7. Работники Компании должны быть в обязательном порядке ознакомлены под роспись с настоящим Положением, при этом должны быть указаны следующие данные: фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе.
1.8. Порядок ввода в действие и изменения Положения.
1.8.1. Настоящее Положение вступает в силу с даты его подписания уполномоченным сотрудником Компании.
1.8.2. Все изменения в Положение вносятся приказом уполномоченного сотрудника Компании.
1.9. Режим защиты персональных данных снимается в случае прекращения обработки (включая хранение) персональных данных Компанией, а также в случае их обезличивания, если иное не определено законом.
2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В состав персональных данных работников Компании входят:
фамилия, имя, отчество, электронная почта, домашний тел., мобильный тел., рабочий тел., дата и место рождения, адрес проживания, адрес регистрации. Основное образование: год поступления, год окончания, учебное заведение, факультет, специальность по диплому, номер диплома, дата выдачи, дополнительная информация (наличие диплома «с отличием», форма обучения), дополнительное образование (аспирантура, стажировки, курсы, семинары): сроки обучения, учебное заведение, адрес, программа, присвоенная квалификация, полученный документ (номер, дата выдачи). Профессиональная деятельность: начало/окончание, полное название компании, адрес, телефон, Ф.И.О. руководителя, должность, количество подчиненных, функциональные обязанности и причины увольнения, достижения, заработная плата, причина поиска новой работы. Иностранный язык (название, степень владения, место обучения, длительность), опыт работы с компьютером. Личные качества (увлечения, интересы, хобби, курение, сильные стороны, слабые стороны, навыки и умения), сведения о наградах, паспортные данные (серия, номер, дата выдачи, кем выдан), прежние Ф.И.О, пенсионное страховое свидетельство (номер), ИНН, лицевые счета, семейное положение. Состав семьи/ближайшие родственники: фамилия, имя, отчество, дата рождения. Сведения о воинском учете (категория запаса, воинское звание, полное кодовое обозначение ВУС, категория годности к военной службе, наименование военного комиссариата по месту жительства), фотографии; содержание трудового договора, приказов по личному составу, а также отчетов и характеристик; сведения автобиографии, контактные телефоны; сведения о производственной деятельности; сведения о прохождении медицинских профилактических осмотров, о полной, частичной или временной нетрудоспособности, данные о социальных льготах и необходимые для предоставления льгот, сведения о доходах и обязательствах имущественного характера.
2.2. В состав персональных данных кандидатов на устройство на работу в Компании входят:
фамилия, имя, отчество, электронная почта, домашний тел., мобильный тел., рабочий тел., дата и место рождения, адрес проживания, адрес регистрации. Основное образование: год поступления, год окончания, учебное заведение, факультет, специальность по диплому, номер диплома, дата выдачи, дополнительная информация (наличие диплома с отличием, форма обучения), дополнительное образование (аспирантура, стажировки, курсы, семинары): сроки обучения, учебное заведение, адрес, программа, присвоенная квалификация, полученный документ (номер, дата выдачи). Профессиональная деятельность: начало/окончание, полное название компании, адрес, телефон, Ф.И.О. руководителя, должность, количество подчиненных, функциональные обязанности и причины увольнения, достижения, заработная плата, причина поиска новой работы. Иностранный язык (название, степень владения, место обучения, длительность), опыт работы с компьютером. Личные качества (увлечения, интересы, хобби, курение, сильные стороны, слабые стороны, навыки и умения), сведения о наградах.
2.3. В состав персональных данных клиентов контрагентов Компании входят:
фамилия, имя, отчество, пол, контактные данные (телефон, электронная почта), дата рождения, адрес проживания и почтовый индекс, адрес регистрации и почтовый индекс, данные об автомобиле (VIN, модель, дата продажи и т.д.), семейное положение, численность семьи, количество детей, профессия, доход, возраст, количество автомобилей в семье.
2.4. В состав персональных данных потенциальных клиентов контрагентов Компании входят:
фамилия, имя, отчество, возраст, контактные данные (телефон, электронная почта, адрес).
2.5. В состав персональных данных контактных лиц контрагентов Компании входят:
фамилия, имя, отчество, контактные данные (телефон, электронная почта).
2.6. В состав персональных данных контактных лиц государственных органов входят:
фамилия, имя, отчество, контактные данные (телефон, электронная почта).
2.7. В состав персональных данных ближайших родственников работников Компании входят:
фамилия, имя, отчество, дата рождения.
2.8. В состав персональных данных получателей алиментов входят:
фамилия, имя, отчество, реквизиты для перевода денежных средств.
2.9. В состав персональных данных лиц, которым выдаются пропуска для прохода или проезда на территорию Компании входят:
фамилия, имя, отчество.
2.10. Перечень персональных данных с местами хранения, обработки и кругом допущенных лиц приведен в Приложении №1 к настоящему Положению
2.11. Сведения, которые признаются общедоступными в любых сочетаниях между собой: фамилия, имя, отчество, дата рождения, служебный и контактный телефон, e-mail, должность и подразделение. Компания вправе производить с ними следующие действия: сбор, систематизация, накопление, уточнение (обновление, изменение), использование, распространение (передача неопределенному кругу лиц в рамках Компании), обезличивание, блокирование, уничтожение, размещение в общедоступных в рамках Компании источниках.
3. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
При обработке персональных данных субъектов, допущенные к ним, лица обязаны соблюдать следующие требования:
3.1. Обработка персональных данных в Компании производится с целью осуществления следующих действий:
3.1.1. Продвижение товаров и услуг, поставляемых Компанией;
3.1.2. Получение и исследование статистических данных об объемах продаж и качестве услуг, оказываемых Компанией;
3.1.3. Совершенствование уровня предоставляемых Компанией услуг;
3.1.4. Подготовка к заключению, заключение и исполнение условий трудового договора в соответствии с Трудовым кодексом РФ или гражданско-правового договора в соответствии с Гражданским кодексом РФ;
3.1.5. Реализация социальных программ, связанных с действующими и бывшими работниками, в целях обеспечения льгот и гарантий, обеспечение личной безопасности работников Компании;
3.1.6. Оформление пропусков для прохода в офис Компании;
3.1.7. Осуществление других видов деятельности в рамках законодательства РФ с обязательным выполнением требований законодательства РФ в области защиты персональных данных.
3.2. Устанавливается срок или условие прекращения обработки персональных данных - в случае приостановления или прекращения деятельности Компании, а также другие предусмотренные законодательством РФ основания.
3.3. Компания не имеет права получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Компания вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
3.4. Компания не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.
3.5. При принятии решений, затрагивающих интересы субъекта, Компания не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или получения по электронной связи.
3.6. Получение персональных данных.
3.6.1. Все персональные данные субъекта Компания может получить лично у субъекта вместе с письменным согласием субъекта на обработку его персональных данных или без такового, в предусмотренных законодательством РФ случаях.
3.6.2. Субъект, являющийся работником Компании, обязан предоставлять Компании достоверные сведения о себе и своевременно информировать об изменении своих персональных данных. Компания имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у Компании документами.
3.6.3. Персональные данные субъектов могут быть получены не у самого субъекта, а у третьей стороны только в том случае, если получение их у самого субъекта затруднительно. При этом, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными. Компания до начат обработки таких персональных данных обязана уведомить об этом субъекта, предоставив следующую информацию:
3.6.3.1. наименование и адрес Компании;
3.6.3.2. цель обработки персональных данных и ее правовое основание;
3.6.3.3. предполагаемые пользователи персональных данных;
3.6.3.4. установленные федеральным законом права субъекта персональных данных.
3.6.4. При получении данных не от субъекта персональных данных Компания должна получить от субъекта письменное согласие на обработку его персональных данных, за исключением случаев, когда передача Компании персональных данных осуществляется на основании заключенных с третьими лицами договоров, предусматривающих обеспечение третьим лицом законности такой передачи, а также в иных случаях, установленных законодательством РФ и настоящим Положением.
3.6.5. Компания по запросу субъекта сообщает субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
3.7. Хранение персональных данных.
3.7.1. Документы, содержащие персональные данные субъектов хранятся как в бумажном виде, так и в электронном.
3.7.2. Хранение документов, содержащих персональные данные субъектов, осуществляется в порядке, исключающем доступ к ним третьих лиц.
3.8. Доступ к персональным данным субъекта третьих лиц (физических и юридических).
3.8.1. Передача персональных данных субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством РФ.
3.8.2. Письменное согласие на передачу персональных данных третьим лицам должно включать в себя:
3.8.2.1. фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
3.8.2.2. наименование и адрес компании (третьего лица), получающей персональные данные субъекта;
3.8.2.3. цель передачи персональных данных;
3.8.2.4. перечень персональных данных, на передачу которых дает согласие субъект;
3.8.2.5. срок, в течение которого действует согласие, а также порядок его отзыва;
3.8.2.6. трансграничная передача персональных данных должна быть отражена в соответствующем согласии субъекта;
3.8.2.7. при осуществлении трансграничной передачи персональных данных в страны, не обеспечивающие должной защиты персональных данных на законодательном уровне, факт такой передачи должен быть также отражен в согласии субъекта.
3.8.3. В случае если Компании оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным субъектов, то соответствующие данные предоставляются только при наличии в договоре пунктов о неразглашении предоставленной информации, либо после подписания дополнительного соглашения к договору о неразглашении информации.
3.8.4. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме, на бланке Компании и в том объеме, который позволяет не разглашать излишний объем персональных сведений о субъектах персональных данных.
3.8.5. Предоставление персональных данных субъекта государственным органам производится в соответствии с требованиями действующего законодательства РФ и настоящим Положением.
3.8.6. Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных субъекта несет работник Компании, осуществляющий передачу персональных данных субъекта третьим лицам, а также руководитель соответствующего работника.
3.8.7. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.
3.8.8. Документы, содержащие персональные данные субъекта, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность.
3.8.9. При отправке через организацию федеральной почтовой связи комплектов документов, содержащих большие объемы персональных данных, в целях обеспечения их конфиденциальности, рекомендуется применять порядок, описанный далее. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
3.9. Носители персональных данных должны быть промаркированы по следующей схеме:
3.9.1. Для каждого журнала (книги, реестра), содержащего персональные данные должна быть нанесена маркировка «Персональные данные».
3.9.2. На сейфы, в которых хранятся документы, содержащие персональные данные, наклеиваются наклейки, содержащие надписи «Персональные данные».
3.9.3. На серверы баз данных, содержащих персональные данные, наклеиваются наклейки, содержащие надписи «Персональные данные».
3.9.4. На все отчуждаемые носители информации (жесткие и оптические диски, магнитные ленты, твердотельные накопители, флеш-накопители), наклеиваются наклейки, содержащие надписи «Персональные данные».
3.10. Обработка персональных данных.
3.10.1. Обработка персональных данных является законной в случае если:
3.10.1.1. она осуществляется с согласия субъекта персональных данных;
3.10.1.2. необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3.10.1.3. необходима для оказания услуги, потребителем которой является субъект персональных данных,
3.10.1.4. она необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
3.10.1.5. она необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.10.2. Доступ к персональным данным субъекта имеют работники Компании, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
3.10.3. Права, обязанности, действия работников, в трудовые обязанности которых входит обработка и защита персональных данных субъектов, определяются должностными инструкциями и настоящим Положением.
3.10.4. Работники Компании, осуществляющие обработку персональных данных, либо имеющие к ним доступ, обязаны соблюдать условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним третьих лиц.
3.10.5. Защите подлежат:
3.10.5.1. персональные данные субъекта;
3.10.5.2. бумажные и электронные носители, содержащие персональные данные субъекта;
3.10.5.3. технические средства информационных систем, в которых производится обработка персональных данных.
3.10.6. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, о категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством РФ, а также ознакомлены с внутренними нормативными документами (приказами, распоряжениями, инструкциями и т.п.), регулирующими обработку и защиту персональных данных в Компании.
3.10.7. Для сбора персональных данных при неавтоматизированной обработке, когда это предусмотрено, необходимо использовать типовые бумажные формы (журнал, книга, реестр).
3.10.8. Для каждой типовой формы (журнал, книга, реестр), содержащей персональные данные субъектов, должны соблюдаться следующие условия:
3.10.8.1. должна быть нанесена маркировка «Персональные данные»;
3.10.8.2. должен содержаться раздел, в котором указываются: цели обработки персональных данных и состав информации, запрашиваемой у субъектов персональных данных; перечень лиц, имеющих доступ к материальным носителям и ответственных за ведение и сохранность формы; сроки обработки персональных данных и перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
3.10.8.3. должно быть предусмотрено ноле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных (при необходимости наличия такого согласия);
3.10.8.4. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
3.10.8.5. копирование содержащейся в таких формах информации не допускается.
3.10.9. Персональные данные, которые хранятся в электронном виде, должны сохраняться на выделенных АРМ, выделенных носителях, либо в выделенных разделах файлового сервера или выделенных базах данных.
3.10.10.Должно быть обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в целях, заведомо не совместимых между собой, при наличии технической возможности.
3.10.11.Все носители, содержащие персональные данные, должны учитываться в Журнале учета носителей для хранения персональных данных.
3.10.12.Утилизация электронных носителей, содержащих персональные данные (USB- дисков, дискет, жестких дисков) как АРМ пользователей, так и серверов, должна проходить по отдельной процедуре при непосредственном участии специалиста подразделения, ответственного за обеспечение информационной безопасности.
3.10.13.Бумажные носители персональных данных по достижению цели обработки должны быть либо сданы в архив, либо утилизированы в трехдневный срок, согласно соответствующей инструкции. Не допускается хранение бумажных носителей на протяжении продолжительного времени, превышающего регламентное время его обработки (устанавливается для каждого типа документа отдельно).
3.10.14.По факту уничтожения персональных данных либо носителей персональных данных должен быть составлен Акт об уничтожении персональных данных. Данный акт является основанием для внесения отметки об уничтожении в Журнал учета носителей для хранения персональных данных.
4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект имеет право:
4.1. Получать доступ к своим персональным данным и знакомиться с ними, включая право на безвозмездное получение копий любой записи, содержащей его персональные данные.
4.2. Получать сведения о правовых основаниях и целях обработки персональных данных; об осуществленной или о предполагаемой трансграничной передаче; о наименовании и адресе лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; о наименовании и месте нахождения оператора, о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.
4.3. Требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Компании персональных данных.
4.4. Отозвать согласие на обработку своих персональных данных. В случае получения письменного отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания обязуется прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцати) дней с даты получения указанного отзыва, за исключением персональных данных, подлежащих хранению Компанией в целях соблюдения законодательства Российской Федерации.
4.5. Получать от Компании:
4.5.1. подтверждение факта обработки персональных данных Компанией, а также цель такой обработки;
4.5.2. способы обработки персональных данных, применяемые Компанией;
4.5.3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4.5.4. перечень обрабатываемых персональных данных и источник их получения;
4.5.5. сроки обработки персональных данных, в том числе сроки их хранения;
4.5.6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
4.6. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4.7. Обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА
5.1. Работники Компании, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
5.2. Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
5.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность.
5.4. В случае разглашения работником персональных данных субъекта (передачи их посторонним лицам, в том числе, работникам Компании, не имеющим к ним доступа), их публичного раскрытия, утраты документов и иных носителей, содержащих персональные данные субъекта, а также иных нарушений обязанностей по их защите и обработке, установленных настоящим Положением, внутренними нормативными актами (приказами, распоряжениями) Компании, Компания имеет право применить к работнику, разгласившему соответствующие персональные данные следующие дисциплинарные взыскания: замечание, выговор, увольнение по соответствующим основаниям в соответствии с трудовым законодательством РФ.
5.5. Работник Компании, имеющий доступ к персональным данным субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность, в случае причинения его действиями ущерба Компании.
5.6. Работники Компании, имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии с законодательством РФ.
6. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ
6.1. Ознакомленные с данным Положением лица, настоящим подтверждают свое согласие на обработку персональных данных со следующими условиями:
6.1.1. Перечень персональных данных:
Фамилия, имя, отчество, электронная почта, домашний телефон, мобильный телефон, рабочий телефон, дата и место рождения, адрес проживания, адрес регистрации. Основное образование: год поступления, год окончания, учебное заведение, факультет, специальность по диплому, номер диплома, дата выдачи, дополнительная информация (наличие диплома с отличием, форма обучения), дополнительное образование (аспирантура, стажировки, курсы, семинары): сроки обучения, учебное заведение, адрес, программа, присвоенная квалификация, полученный документ (номер, дата выдачи). Профессиональная деятельность: начало/окончание, полное название компании, адрес, телефон, Ф.И.О. руководителя, должность, количество подчиненных, функциональные обязанности и причины увольнения, достижения, заработная плата, причина поиска новой работы. Иностранный язык (название, степень владения, место обучения, длительность), опыт работы с компьютером. Личные качества (увлечения, интересы, хобби, курение, сильные стороны, слабые стороны, навыки и умения), сведения о наградах, паспортные данные (серия, номер, дата выдачи, кем выдан), прежние Ф.И.О, пенсионное страховое свидетельство (номер), ИНН, лицевые счета, семейное положение. Состав семьи/ближайшие родственники: фамилия, имя, отчество, дата рождения. Сведения о воинском учете (категория запаса, воинское звание, полное кодовое обозначение ВУС, категория годности к военной службе, наименование военного комиссариата по месту жительства), фотографии; содержание трудового договора, приказов по личному составу, а также отчетов и характеристик; сведения автобиографии, контактные телефоны; сведения о производственной деятельности; сведения о прохождении медицинских профилактических осмотров, о полной, частичной или временной нетрудоспособности, данные о социальных льготах и необходимые для предоставления льгот, сведения о доходах и обязательствах имущественного характера.
6.1.2. Цели обработки персональных данных:
6.1.2.1. предоставление доступа к программному обеспечению Компании;
6.1.2.2. хранение данных, для использования в дальнейшем для обращения к субъекту персональных данных и его идентификации при использовании им программного обеспечения Компании и получения услуг Компании;
6.1.2.3. подготовка к заключению, заключение и исполнение условий трудового договора в соответствии с Трудовым кодексом РФ или гражданско-правового договора в соответствии с Гражданским кодексом РФ;
6.1.2.4. реализация социальных программ, связанных с действующими и бывшими работниками, в целях обеспечения льгот и гарантий, обеспечение личной безопасности работников;
6.1.2.5. осуществление программ в области профессиональной подготовки, переподготовки и повышению квалификации работников организации;
6.1.2.6. оформление пропусков для прохода на территорию организации;
6.1.2.7. осуществление политики сотрудничества с органами государственной власти и местными органами власти;
6.1.2.8. осуществление других видов деятельности в рамках законодательства РФ с обязательным выполнением требований законодательства РФ в области персональных данных.
6.1.3. Настоящее согласие дается лицом на совершение следующих действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу ограниченному кругу третьих лиц) в случаях и в объеме, предусмотренных законодательством Российской Федерации, обезличивание, блокирование, уничтожение персональных данных
6.1.4. Настоящим лицо дает согласие считать общедоступными следующие персональные данные в любых сочетаниях между собой: фамилия, имя, отчество, дата рождения, служебный и контактный телефон, e-mail, должность и подразделение - и производить с ними следующие действия: сбор, систематизация, накопление, уточнение (обновление, изменение), использование, распространение (передача неопределенному кругу лиц в рамках Компании), обезличивание, блокирование, уничтожение, размещение в общедоступных в рамках Общества источниках.
6.1.5.Срок действия согласия:
6.1.5.1. Для сотрудников компании: вплоть до исполнения условий трудового договора - полный набор разрешенных действий, а также после исполнения в течение неограниченного периода времени - хранение персональных данных в целях предоставления информации по запросам государственных органов. В течение 75 лет после окончания действия Трудового договора с ООО «МайтТраст» - архивное хранение.
6.1.5.2. Для иных лиц: вплоть до прекращения взаимодействия с Компанией (получение услуг, оказание услуг, использование программного обеспечения Компании, выполнение обязательств по договороам с Компанией и соглашениям) - полный набор разрешенных действий, а также после этого срока в течение неограниченного периода времени - хранение персональных данных в целях предоставления информации по запросам государственных органов. В течение 75 лет после окончания указанного срока - архивное хранение.
6.1.6. Настоящим лицо подтверждает, что ознакомлено с порядком отзыва согласия на обработку персональных данных и осознает, что в случае отзыва им согласия в рамках трудовых отношений с ООО «МайтТраст» будет продолжаться дальнейшая обработка его персональных данных в целях исполнения обязательств по Трудовому договору и в соответствии с Трудовым кодексом РФ. Для полного прекращения обработки персональных данных работника в ООО «МайтТраст» должен быть расторгнут Трудовой договор, после чего эти данные будут храниться в течение 75 лет в соответствии с законодательством РФ.
6.1.7. О порядке отзыва согласия из Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» (№ 152 - ФЗ):
«В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами».