1.1. Политика в области обработки персональных данных в ООО «ВЛС» (далее — Политика) определяет основные принципы, цели, условия и порядок обработки персональных данных, перечни субъектов и обрабатываемых персональных данных, их состав, действия ООО «ВЛС» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «ВЛС» требования к защите персональных данных. Политика в области обработки персональных данных в ООО «ВЛС» » (далее – Организация) распространяется на персональные данные, обрабатываемые в Организации с использованием средств автоматизации и без использования таких средств.
1.2. Политика разработана во исполнение требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173), Федерального закона от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» (Собрание законодательства Российской Федерации 2011, № 31, ст. 4701), постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (Собрание законодательства Российской Федерации, 2008, № 38, ст. 4320), постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48 (ч. II), ст. 6001), приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (зарегистрирован Министерством юстиции Российской Федерации 3 апреля 2008 г. за № 11462, Российская газета от 12 апреля 2008 г.) и в соответствии с Трудовым кодексом Российской Федерации (Собрание законодательства Российской Федерации, 2002, № 1 (ч. I), ст. 3; № 30, ст. 3014, 3033; 2003, № 27 (ч. I), ст. 2700; 2004, № 18, ст. 1690; № 35, ст. 3607; 2005, № 1 (ч. I), ст. 27; № 19, ст. 1752; 2006, № 27, ст. 2878; № 52 (ч. I), ст. 5498; 2007, № 1 (ч. I), ст. 34; № 17, ст. 1930; № 30, ст. 3808; № 41, ст. 4844; № 43, ст. 5084; № 49, ст. 6070; 2008, № 9, ст. 812; № 30 (ч. I), ст. 3613; № 30 (ч. II), ст. 3616; № 52 (ч. I), ст. 6235, 6236; 2009, № 1, ст. 17, 21; № 19, ст. 2270; № 29, ст. 3604; № 30, ст. 3732, 3739; № 46, ст. 5419; № 48, ст. 5717), Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31 (ч. I), ст. 3448).с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «ВЛС» вопросы обработки персональных данных работников ООО «ВЛС» и других субъектов персональных данных.
1.4. Термины и определения:
1) сотрудники – это граждане, заключившие трудовой договор с Организацией;
2) клиенты – это пользователи услугами связи, с которыми заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации;
3) контрагенты – граждане состоящие в гражданско-правовых отношениях с обществом;
4) субъекты персональных данных – сотрудники и клиенты Организации, а также иные граждане состоящие в гражданско-правовых отношениях с обществом;
5) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
6) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
7) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
8) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
9) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
10) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
11) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2. Цели и принципы обработки персональных данных
2.1. Цели обработки персональных данных.
2.1.1. Обработка ПДн сотрудников в Организации осуществляется в целях:
– исполнение положений утвержденных нормативных актов;
– проведение кадровой работы;
– формирование бухгалтерской отчетности;
– выплата заработной платы;
– обеспечение прав учредителей Общества;
– исполнение договоров, заключенных с субъектами персональных данных;
– профилактика заболеваний;
– осуществление пропускного и внутриобъектового режима.
2.1.2. Обработка ПДн клиентов в Организации осуществляется в целях исполнения договора на предоставление услуг связи, в соответствии с ФЗ “О связи” от 07.07.2003 №126-ФЗ, а именно:
– исполнение договоров, заключенных с субъектами персональных данных;
– осуществление приема платежей третьими лицами
2.1.3. Персональные данные различных субъектов персональных данных могут обрабатываться в иных целях, указанных в согласии субъекта персональных данных на обработку его персональных данных.
2.2. Принципы обработки ПДн:
1) обработка ПДн должна осуществляться на законной и справедливой основе;
2) обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
3) не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только ПДн, которые отвечают целям их обработки;
5) содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
6) при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
7) хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей
обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.3. ПДн субъекта ПДн следует получать у него самого. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее, за исключением следующих случаев:
1) субъект ПДн уведомлен об осуществлении обработки его ПДн Организацией;
2) ПДн получены Организацией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
3) ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
4) уведомление субъекта ПДн нарушает права и законные интересы третьих лиц.
2.4. При принятии решений, порождающих юридические последствия в отношении субъекта ПДн, Организация не имеет права основываться на ПДн субъекта ПДн, полученных исключительно в результате их автоматизированной обработки или электронного получения.
2.5. Защита ПДн субъекта ПДн от неправомерного их использования или утраты обеспечивается Организацией за счет её средств.
2.6. Работники Организации не должны отказываться от своих прав на сохранение и защиту персональных данных.
2.7. Сотрудники Организации и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
3. Состав персональных данных
3.1. Перечень обрабатываемых ПДн.
3.1.1. В состав ПДн сотрудников и физических лиц, работающих на основании гражданско-правовых договоров, обрабатываемых в Организации входят следующие категории ПДн:
– фамилия, имя, отчество
– место, год и дата рождения
– адрес места регистрации
– паспортные данные
– информация об образовании
– информация о трудовой деятельности до приёма на работу
– сведения о трудовом стаже
– адрес проживания
– телефонный номер
– семейное положение и состав семьи
– сведения о заработной плате, доходах и размер удержаний;
– данные о трудовом договоре
– сведения о воинском учете
– ИНН
– данные о повышении квалификации
– данные о наградах, медалях, поощрениях, почетных званиях
– информация о приеме на работу, перемещении по должности, увольнении
– информация об отпусках
– информация о командировках
– СНИЛС
– Фотография
– данные водительского удостоверения;
– номера счетов в банках;
– состояние здоровья в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
3.1.2. В состав ПДн контрагентов, обрабатываемых в Организации входят следующие категории ПДн:
– Фамилия, имя, отчество
– Место, год и дата рождения;
– Адрес места подключения;
– Адрес места проживания/адрес места регистрации;
– Паспортные данные (серия, номер паспорта, кем и когда выдан);
– Телефонный номер;
– Индивидуализирующие данные, выделяемые клиенту при заключении договора (логин, пароль ит.п.);
– Состояние лицевого счета контрагента-клиента;
– ОГРНИП.
3.2. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.
3.2.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет Организации:
– паспорт или иной документ, удостоверяющий личность;
– трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
– страховое свидетельство государственного пенсионного страхования;
– документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;
– документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки.
3.2.2. При оформлении работника в Организацию, заполняется унифицированная форма Т-2 «Личная карточка работника» (утверждена постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»), в которой отражаются следующие анкетные и биографические данные работника:
– общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
– сведения о воинском учете;
– данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
– сведения о переводах на другую работу;
– сведения об аттестации;
– сведения о повышении квалификации;
– сведения о профессиональной переподготовке;
– сведения о наградах (поощрениях), почетных званиях;
– сведения об отпусках;
– сведения о социальных гарантиях;
– сведения о месте жительства и контактных телефонах.
3.2.3. Так же для исполнения нормативно-правовых актов РФ, от работника могут потребоваться следующие документы:
– копии свидетельств о рождении детей работника и копия свидетельства о браке работника, для предоставления работнику налоговых вычетов, согласно ст. 218 НК РФ;
– документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.), согласно ст. 218-220 НК РФ;
– документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций;
– документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
– свидетельство о присвоении ИНН (при его наличии у работника).
3.2.4. В процессе трудовой деятельности, для работников формируются документы, содержащие сведения о заработной плате, доплатах и надбавках.
3.3. Комплекс документов, сопровождающий процесс оформления Клиентов, при заключении с ними договора.
3.3.1. В соответствии с Постановлением Правительства РФ от 10.09.2007 N 575 «Об утверждении правил оказания телематических услуг связи», в договоре с абонентом должны быть указаны следующие сведения об абоненте:
– фамилия, имя, отчество, дата и место рождения, реквизиты документа, удостоверяющего личность, – для гражданина;
– реквизиты документа, удостоверяющего личность, и реквизиты свидетельства о государственной регистрации в качестве индивидуального предпринимателя – для индивидуального предпринимателя.
– Гражданин при подаче заявления о заключении договора предъявляет документ, удостоверяющий его личность;
– Индивидуальный предприниматель при подаче заявления предъявляет документ, удостоверяющий его личность, а также копию свидетельства о государственной регистрации в качестве индивидуального предпринимателя.
3.3.2. В соответствии с Постановлением Правительства РФ от 22.12.2006 N 785 «Об утверждении Правил оказания услуг связи для целей телевизионного вещания и (или) радиовещания», в договоре с абонентом должны быть указаны следующие сведения об абоненте:
– фамилия, имя, отчество, реквизиты документа, удостоверяющего личность, – для гражданина;
– реквизиты документа, удостоверяющего личность, и реквизиты свидетельства о государственной регистрации в качестве индивидуального предпринимателя, банковские реквизиты – для индивидуального предпринимателя.
4. Сбор и обработка персональных данных
4.1. Порядок получения ПДн.
4.1.1. Согласия на обработку ПДн не требуется в следующих случаях:
1) обработка ПДн необходима для достижения целей, предусмотренных законом,
для осуществления и выполнения возложенных законодательством Российской Федерации на Организацию функций, полномочий и обязанностей
2) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
3) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
4) обработка ПДн необходима для творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
5) осуществляется обработка ПДн, доступ неограниченного круга лиц к которым, предоставлен субъектом ПДн либо по его просьбе.
6) в целях осуществления оператором связи расчетов за оказанные услуги связи, а также рассмотрения претензий.
4.1.2. Так как Организация обрабатывает ПДн работников в целях исполнения трудового договора и обработка ПДн необходима для достижения целей, возложенных на организацию ТК РФ, согласия работника на обработку его ПДн не требуется, в случае если цели обработки ПДн соответствуют описанным в данном пункте. Для начисления заработной платы на пластиковые карточки в банк, от работников требуется согласие на передачу его ПДн, в любом, позволяющим подтвердить его наличие виде.
4.1.3. Так как Организация обрабатывает ПДн Клиентов в целях исполнения договора, составленного между организацией и Клиентом, и обработка ПДн осуществляется в соответствии с ФЗ «О связи» от 07.07.2003 №126-ФЗ, согласия Клиента на обработку его ПДн не требуется, в случае если цели обработки ПДн соответствуют описанным в данном пункте.
4.2. Порядок обработки специальных категорий ПДн.
4.2.1. К специальным категориям ПДн относятся:
Сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
4.2.2. Организация не имеет права получать и обрабатывать специальные категории ПДн.
5. Передача персональных данных
5.1. При передаче ПДн, сотрудники Организации должны соблюдать следующие требования:
5.1.1. Не сообщать ПДн третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом.
5.1.2. Не сообщать ПДн в коммерческих целях без письменного согласия субъекта ПДн. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только с предварительного согласия субъекта ПДн.
5.1.3. Лица, получившие ПДн субъекта ПДн, обязаны соблюдать конфиденциальность полученных ПДн.
5.1.4. Осуществлять передачу ПДн субъектов ПДн в пределах Организации в соответствии с настоящим Положением.
5.1.5. Разрешать доступ к ПДн только тем сотрудникам организации, которым при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретной функции.
5.1.6. Передавать ПДн субъекта ПДн представителям субъектов ПДн в порядке, установленном нормативно-правовыми актами РФ.
6. Доступ к персональным данным
6.1. Право доступа к ПДн имеют структурные подразделения Организации, указанные в документе “Перечень подразделений и должностей, допущенных к работе с ПДн”, утвержденным генеральным директором Организации.
6.2. ПДн вне Организации, могут предоставляться только в соответствии с федеральными законами. Примерный перечень государственных функциональных структур, в которые могут предоставляться ПДн субъектов ПДн:
– налоговые службы;
– правоохранительные органы;
– государственные органы статистики;
– военкоматы;
– органы социального страхования;
– государственные пенсионные фонды;
6.3. ПДн субъекта ПДн могут быть предоставлены другой организации, в случае отсутствия оснований, изложенных в п.6.2, только с письменного запроса на бланке учреждения с приложением копии заявления от субъекта ПДн о согласии на такое предоставление.
6.4. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции
6.5. Организации, в которые субъект ПДн может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к ПДн только в случае его письменного согласия.
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
7.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную административную, гражданскоправовую или уголовную ответственность в соответствии с федеральными законами.
7.2. Генеральный директор Организации за нарушение норм, регулирующих получение, обработку и защиту ПДн, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ПДн ущерб, причиненный неправомерным использованием информации, содержащей ПДн.
8. Права и обязанности субъектов персональных данных и Организации
8.1. Субъекты ПДн имеют право:
– получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной);
– осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта ПДн, за исключением случаев, предусмотренных федеральным законом;
– требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушением законодательства;
– при отказе Организации или уполномоченного ею лица исключить или исправить ПДн субъекта ПДн – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
– дополнить ПДн оценочного характера заявлением, выражающим его собственную точку зрения;
– требовать от Организации или уполномоченного ею лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта ПДн, обо всех произведенных в них изменениях или исключениях из них;
– обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите ПДн субъекта ПДн.
8.2. Для защиты ПДн субъектов ПДн Организация обязана:
– за свой счет обеспечить защиту ПДн субъекта ПДн от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
– ознакомить работника или его представителей с настоящим положением под роспись;
– осуществлять передачу ПДн субъекта ПДн только в соответствии с настоящим Положением и законодательством Российской Федерации;
– предоставлять ПДн субъекта ПДн только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;
– обеспечить субъекту ПДн свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей его ПДн, за исключением случаев, предусмотренных законодательством;
– по требованию субъекта ПДн или его законного представителя предоставить ему полную информацию о его ПДн и обработке этих данных.
8.3. Субъект ПДн или его законный представитель обязуется предоставлять ПДн, соответствующие действительности.
9. Реализуемые Организацией требования к защите ПДн
9.1. Доступ к ПДн имеют только те должностные лица, которые допускаются к соответствующей информации на основании списка должностей, утвержденного приказом
генерального директора Организации.
9.2. В целях обеспечения сохранности и конфиденциальности ПДн в Организации все операции по оформлению, формированию, ведению и хранению данной информации выполняются только ответственными Работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в должностных инструкциях.
9.3. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий передаются в письменной форме на бланке Организации и в том объеме, который позволяет не разглашать ПДн о субъектах ПДн.
9.4. Хранение и использование ПДн.
9.4.1. ПДн субъектов ПДн на бумажных носителях хранятся в архиве или в кабинетах сотрудников в шкафах, доступ к которым имеет ограниченный круг лиц, которым такой доступ необходим для исполнения служебных обязанностей. Несанкционированный доступ к таким хранилищам ПДн субъектов ПДн исключается организационными мерами, принятыми Организацией.
9.4.2. ПДн субъектов ПДн в электронном виде хранятся на накопителях на жестком магнитном диске, установленных на автоматизированных рабочих местах сотрудников Организации, в серверных помещениях, а так же на съемных носителях информации. Несанкционированный доступ к таким хранилищам ПДн субъектов ПДн исключается организационными и техническими мерами, принятыми Организацией