Положение о защите персональных данных в обществе с ограниченной ответственностью «Торговый дом «АгроУслуги»

1. Общие положения

  1. Обработка персональных данных в Обществе с ограниченной ответственностью «Торговый дом «АгроУслуги» (далее - Общество) выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных, персональные данные которых обрабатываются в Обществе.
  2. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
  3. К субъектам персональных данных, персональные данные которых обрабатываются в Обществе, в соответствии с настоящими Положением относятся:
    1. работники Общества, руководитель Общества (далее - работники Общества) и члены их семьи;
    2. граждане, претендующие на замещение должностей в Обществе, в том числе на замещение должности руководителя Общества;
    3. супруги (в том числе бывшие, супруги братьев и сестер, братья и сестры супругов), лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1, 2 настоящего пункта, в случаях, предусмотренных законодательством Российской Федерации;
    4. уволенные работники Общества;
    5. лица, обработка персональных данных которых осуществляется в связи с исполнением гражданско-правовых договоров, заключаемых Обществом;
    6. лица, обработка персональных данных которых осуществляется в рамках международного сотрудничества;
    7. граждане, обратившиеся в Общество;
    8. пользователи официального сайта Общества в информационно-телекоммуникационной сети «Интернет»;
  4. Обработка персональных данных лиц, указанных в пункте 3 настоящего Положения, в соответствии с пунктом 2 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральной закон «О персональных данных») осуществляется без согласия субъекта персональных данных на обработку его персональных данных для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей.
  5. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и условий, предусмотренных настоящими Положением и законодательством Российской Федерации в области персональных данных. 

2. Цели, условия и порядок обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных 

  1. Персональные данные субъектов персональных данных, указанных в подпунктах 1 - 4 пункта 3 настоящего Положения, обрабатываются в целях обеспечения деятельности Общества трудовыми ресурсами (далее - работники), содействия в выполнении осуществляемой работы, организации и прохождения конкурса на замещение вакантных должностей, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения работниками Общества должностных обязанностей, обеспечения личной безопасности работников Общества и членов их семей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, в том числе при рассмотрении вопроса о предоставлении единовременной субсидии на приобретение жилого помещения, сохранности принадлежащего им имущества, противодействия коррупции.
  2. В целях, указанных в пункте 6 настоящего Положения, обрабатываются следующие категории персональных данных субъектов персональных данных, указанных в подпунктах 1 - 5, 7 пункта 3 настоящего Положения:
    1. фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии), в случае их изменения);
    2. дата рождения;
    3. место рождения;
    4. сведения о гражданстве (в том числе о прежних гражданствах, иных гражданствах);
    5. вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа, код подразделения органа, выдавшего его, дата выдачи;
    6. вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего его, дата выдачи;
    7. адрес места жительства, дата регистрации по месту жительства (месту пребывания);
    8. номер телефона или сведения о других способах связи;
    9. сведения, содержащиеся в страховом свидетельстве обязательного пенсионного страхования или документе, подтверждающем регистрацию в системе индивидуального (персонифицированного) учета; идентификационный номер налогоплательщика;
    10. реквизиты страхового медицинского полиса обязательного медицинского страхования;
    11. реквизиты свидетельства о государственной регистрации актов гражданского состояния;
    12. сведения о семейном положении, составе семьи и о близких родственникам (в том числе бывших супругах);
    13. сведения о трудовой деятельности, включая работу по совместительству, предпринимательскую и иную деятельность, военную службу;
    14. отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименование органа, выдавшего его);
    15. сведения об образовании с указанием наименования образовательной организации, года ее окончания, квалификации, специальности и (или) направления подготовки, наименования и реквизитов документа об образовании;
    16. сведения об ученой степени, ученом звании;
    17. сведения о владении иностранными языками и языками народов Российской Федерации;
    18. сведения о наличии либо отсутствии заболевания, препятствующего работе по определенной специальности;
    19. фотография;
    20. сведения о работе, в том числе: дата и основание поступления на работу и назначения на должность, дата и основание назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности, а также сведения о прежнем месте работы;
    21. сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
    22. сведения о пребывании за границей;
    23. сведения о воинском и (или) специальном звании, классном чине правоохранительной службы, классном чине юстиции, а также сведения о том, кем и когда они присвоены;
    24. сведения о наличии или отсутствии судимости;
    25. сведения о профессиональной переподготовке и (или) повышении квалификации;
    26. сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
    27. сведения о доходах;
    28. сведения об адресах сайтов и (или) страниц сайтов в информационно- телекоммуникационной сети «Интернет», на которых работником Общества, гражданином, претендующим на замещение должностей в Обществе, размещалась общедоступная информация, а также данные, позволяющие его идентифицировать;
    29. номер расчетного счета;
    30. номер банковской карты;
    31. иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям обработки персональных данных, указанным в пункте 6 настоящего Положения.
  1. Обработка персональных данных, указанных в подпунктах 1 - 6, 14 пункта 3 настоящего Положения, осуществляется без их согласия в целях, определенных пунктом 6 настоящего Положения, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона «О персональных данных», Трудового кодекса Российской Федерации.
  2. Обработки специальных категорий персональных данных субъектов персональных данных осуществляется без их согласия в целях, указанных в пункте 6 настоящего Положения, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных»8, за исключением случаев получения персональных данных у третьей стороны в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации.
  3. Обработка персональных данных субъектов персональных данных, указанных в подпунктах 1 - 5, 7 пункта 3 настоящего Положения, осуществляется с их согласия в следующих случаях:
    1. при передаче персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации;
  4. при принятии решений, порождающих юридические последствия получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документыв отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных. В случаях, предусмотренных пунктом 10 настоящего Положения, согласие субъектов персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
  5. Обработка персональных данных субъектов персональных данных, указанных в подпунктах 1 - 5, 7 пункта 3 настоящего Положения, осуществляется Специалистом по кадрам Общества (далее - кадровое подразделение Общества) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:
    1. получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение Общества) (далее - оригиналы документов);
    2. копирование оригиналов документов;
    3. внесения сведений в учетные формы (на бумажных и электронных носителях);
    4. формирования персональных данных в ходе кадровой работы;
    5. внесения персональных данных в информационные системы персональных данных Общества, используемые кадровым подразделением Общества.
  7. Запрещается получать, обрабатывать и приобщать к личному делу субъектов персональных данных, указанных в подпунктах 1 - 5, 7 пункта 3 настоящего Положения, персональные данные, не предусмотренные пунктом 7 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
  8. Персональные данные лиц, указанных в подпункте 6 пункта 3 настоящего Положения, обрабатываются в целях реализации полномочий Общества, установленных федеральными законами, актами Президента Российской Федерации, Правительства Российской Федерации.
  9. В целях, указанных в пункте 15 настоящего Положения, обрабатываются следующие персональные данные лиц, указанных в подпункте 6 пункта 3 настоящего Положения:
    1. фамилия, имя, отчество (при наличии);
    2. дата и место рождения;
    3. адрес места жительства, дата регистрации по месту жительства (месту пребывания);
    4. сведения, содержащиеся в страховом свидетельстве обязательного пенсионного страхования или документе, подтверждающим регистрацию в системе индивидуального (персонифицированного) учета;
    5. идентификационный номер налогоплательщика;
    6. вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа, код подразделения органа, выдавшего его, дата выдачи;
    7. номер телефона или сведения о других способах связи;
    8. иные персональные данные, которые отвечают цели обработки персональных данных, указанной в пункте 15 настоящего Положения.

3. Условия и порядок обработки персональных данных субъектов персональных данных в информационных системах

  1. Обработка персональных данных в Обществе осуществляется в следующих информационных системах:
    1. Единая информационная система Общества;
  2. Работники Общества, имеющие право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе.
  3. Информация вносится как в автоматическом режиме при получении персональных данных из официального сайта Общества в информационно-телекоммуникационной сети «Интернет», так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
  4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
  5. Доступ работников Общества к персональным данным, находящимся в информационных системах персональных данных Общества, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
  6. Обмен персональными данными при их обработке в информационных системах персональных данных Общества осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующим организационных мер и применения программных и технических средств в соответствии со статьей 19 Федерального закона «О персональных данных».
  7. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Общества уполномоченными должностными лицами Общества принимаются меры по установлению причин нарушений и их устранению с момента обнаружения таких нарушений.

4. Положение работы с обезличенными данными в случае обезличивания персональных данных

  1. Обезличивание персональных данных в Обществе осуществляется в статистических или иных исследовательских целях с соблюдением требований, установленных подпунктом «з» пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. №211.
  2. Персональные данные, полученные в результате обезличивания, могут обрабатываться с использованием и без использования средств автоматизации и не подлежат разглашению.
  3. Персональные данные, полученные в результате обезличивания, подлежат защите в соответствии с законодательством Российской Федерации".
  4. Персональные данные, полученные в результате обезличивания, не подлежат предоставлению третьим лицам, осуществляющим обработку персональных данных с использованием дополнительной информации, позволяющей прямо или косвенно определить конкретное физическое лицо.
  5. При обработке персональных данных, полученных в результате обезличивания, без использования средств автоматизации обеспечивается сохранность содержащих их материальных носителей и порядок доступа государственных служащих Общества в помещения, в которых они хранятся, в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий.
  6. При обработке персональных данных, полученных в результате обезличивания, в информационных системах персональных данных обеспечивается соблюдение парольной защиты информационных систем персональных данных, антивирусной политики, правил работы со съемными носителями (в случае их использования), правил резервного копирования, правил доступа в помещения, где расположены элементы информационных систем персональных данных.
  7. При хранении персональных данных, полученных в результате обезличивания, обеспечивается раздельное хранение персональных данных, полученных в результате обезличивания, и информации о выбранном методе обезличивания персональных данных и параметрах процедура обезличивания персональных данных. 

5. Сроки обработки и хранения персональных данных. Порядок уничтожения персональных данных

  1. Хранение личных дел работников Общества осуществляется в соответствии с действующим законодательством.
  2. Сроки хранения персональных данных в Обществе определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности Общества.
  3. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
  4. Персональные данные подлежат уничтожению в следующих случаях:
    1. При достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных»;
    2. При изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
    3. При выявлении факта неправомерной обработки персональных данных;
    4. При отзыве субъектом персональных данных согласия, если иное не предусмотрено Федеральным законом «О персональных данных»;
  5. Структурным подразделением Общества, ответственным за документооборот и архивирование, осуществляется систематический контроль и выявление документов, содержащих персональные данные с истекшими сроками хранения.
  6. Вопрос об уничтожении документов, содержащих персональные данные с истекшими сроками хранения, рассматривается руководителем Общества.
  7. По итогам решения руководителя Общества составляются письменное решение и акт о выделении к уничтожению документов, опись уничтожаемых дел. Акт о выделении к уничтожению документов подписывается руководителем Общества.
  8. Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6. Рассмотрение запросов субъектов персональных данных или их представителей 

  1. Лица, указанные в пункте 3 настоящего Положения, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащих:
    1. подтверждение факта обработки персональных данных Обществом;
    2. правовые основания и цели обработки персональных данных;
    3. цели и применяемые Обществом способы обработки персональных данных;
    4. наименование и место нахождения Общества, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
    5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    6. сроки обработки персональных данных, в том числе сроки их хранения;
    7. порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
    8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
    10. информацию о способах исполнения Обществом обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
    11. иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
  2. Лица, указанные в пункте 3 настоящего Положения, вправе требовать от Общества уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  3. Сведения, указанные в пункте 43 настоящего Положения, должны быть предоставлены субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
  4. Сведения, указанные в пункте 43 настоящего Положения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения Общества, осуществляющим обработку соответствующих персональных данных, в течение десяти рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Запрос должен содержать.
    1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
    2. сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, оказание Обществом услуги либо иным образом подтверждающие факт обработки персональных данных Обществом;
    3. подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации23.
  5. В случае если сведения, указанные в пункте 43 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Обществ или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональным данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
  6. Субъект персональных данных вправе обратиться повторно в Обществ или направить ему повторный запрос в целях получения сведений, указанных в пункте 43 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 47 настоящего Положения, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 46 настоящего Положения, должен содержать обоснование направления повторного запроса.
  7. Общество вправе отказать субъекту персональных данных в выполнении повторного запросы, не соответствующего условиям, предусмотренным пунктами 47 и 48 настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
  8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законное интересы третьих лиц.

Полное описание документа в PDF.