Положение об обработке и защите персональных данных

Настоящее Положение является локальным нормативным актом ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЯ САЙБУЛАТОВА ИСЛАМА РИНАТОВИЧА, ИНН 166024119293, ОГРНИП 315169000009209 (далее - ИП), принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).

В Положении устанавливаются:

• цель, порядок и условия обработки персональных данных;
• категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
• положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.

В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.

Положение вступает в силу с момента его утверждения ИП и действует до его отмены ИП или до введения нового Положения.

Внесение изменений в Положение производится решением ИП. Изменения вступают в силу с момента подписания соответствующего документа.

2. Категории субъектов персональных данных

2.1. К субъектам, персональные данные которых обрабатываются ИП в соответствии с Положением, относятся:

• кандидаты для приема на работу ИП;
• работники ИП;
• бывшие работники ИП;
• члены семей работников ИП — в случаях, когда согласно законодательству сведения о них предоставляются работником;
• иные лица, персональные данные которых ИП обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права;
• клиенты, контрагенты, партнеры ИП.

3. Цели обработки персональных данных, категории обрабатываемых персональных данных

3.1. Согласно Положению, персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых, иных непосредственно связанных с ними отношений, а также в рамках возникновения гражданско-правовых отношений, взаимодействия ИП с потенциальными партнерами, клиентами и иными лицами с целью защиты персональных данных категорий лиц, в том числе:

• при содействии в трудоустройстве;
• ведении кадрового и бухгалтерского учета;
• содействии работникам в получении образования и продвижении по службе;
• оформлении награждений и поощрений;
• предоставлении со стороны ИП установленных законодательством условий труда, гарантий и компенсаций;
• заполнении и передаче в уполномоченные органы требуемых форм отчетности;
• обеспечении личной безопасности работников, иных лиц и сохранности имущества;
• осуществлении контроля за количеством и качеством выполняемой работы;
• обеспечении защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
• продвижении товаров, работ, услуг ИП на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
• взаимодействии ИП по вопросам взаимовыгодного сотрудничества, заключению сделок с потенциальными партнерами, клиентами и иными лицами.

3.2. В соответствии с целью, указанной в п. 3.1 Положения, обрабатываются следующие персональные данные:

• фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения;
• пол;
• дата (число, месяц, год) и место рождения;
• фотографическое изображение;
• сведения о гражданстве;
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• страховой номер индивидуального лицевого счета (СНИЛС);
• идентификационный номер налогоплательщика (ИНН);
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
• номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
• реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
• сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты и места рождения);
• сведения об образовании и (или) квалификации или наличии специальных знаний;
• информация о владении иностранными языками;
• сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета;
• сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
• сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан);
• сведения о доходах, обязательствах по исполнительным документам;
• номера расчетного счета, банковской карты;
• сведения о состоянии здоровья (для отдельных категорий работников);
• сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
• иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Положения.

3.3. ИП не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. Порядок и условия обработки персональных данных

4.1. До начала обработки персональных данных ИП обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

4.2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Постановление Правительства РФ от 27.11.2006 N 719 «Об утверждении Положения о воинском учете».

4.3. Обработка персональных данных осуществляется ИП с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.

4.4. Обработка персональных данных ИП выполняется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

4.5. Обработка персональных данных ИП осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.

4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.

4.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.

4.6. ИП не осуществляет трансграничную передачу персональных данных.

4.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

4.7.1. Сбор, запись, систематизация, накопление и уточнение персональных данных ИП осуществляются посредством:

• получения оригиналов документов либо их копий;
• копирования оригиналов документов;
• внесения сведений в учетные формы на бумажных и электронных носителях;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях;
• внесения персональных данных в информационные системы персональных данных.

4.7.2. ИП используются следующие информационные системы:

• корпоративная электронная почта;
• система электронного документооборота;
• система поддержки рабочего места пользователя;
• система нормативно-справочной информации;
• система управления персоналом;
• система контроля за удаленным доступом;
• информационный портал.

4.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.

5. Сроки обработки и хранения персональных данных

5.1. Обработка персональных данных ИП прекращается в следующих случаях:

• при выявлении факта неправомерной обработки персональных данных (срок прекращения обработки — в течение трех рабочих дней с даты выявления такого факта);
• при достижении целей их обработки (за некоторыми исключениями);
• по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями);
• при обращении субъекта персональных данных к ИП с требованием о прекращении обработки персональных данных (срок прекращения обработки — не более 10 рабочих дней с даты получения требования).

5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение — случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого является субъект персональных данных.

5.3. Персональные данные на бумажных носителях хранятся ИП в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ.

5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Порядок блокирования и уничтожения персональных данных

6.1. ИП блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются.

6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных подтверждающих сведений.

6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.

6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между ним и ИП, либо если ИП не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку.

6.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляет ответственное лицо ИП, обрабатывающее персональные данные.

6.7.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.7.3. Ответственное лицо подтверждает уничтожение персональных данных согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179.

7. Защита персональных данных

7.1. Без письменного согласия субъекта персональных данных ИП не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

7.2. С целью защиты персональных данных ИП назначаются (утверждаются):

• работник, ответственный за организацию обработки персональных данных;
• перечень должностей, при замещении которых обрабатываются персональные данные;
• перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
• порядок доступа в помещения, в которых ведется обработка персональных данных;
• порядок передачи персональных данных ИП;
• форма согласия на обработку персональных данных;
• порядок защиты персональных данных при их обработке в информационных системах персональных данных;
• порядок проведения внутренних расследований, проверок;
• иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

7.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

7.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ (если применимо).

7.5. Доступ к персональной информации, содержащейся в информационных системах ИП, осуществляется по индивидуальным паролям.

7.6. ИП используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

7.7. Работники ИП, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

7.9. ИП проводятся внутренние расследования в следующих ситуациях:

• при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
• в иных случаях, предусмотренных законодательством в области персональных данных.

7.10. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль за соблюдением требований законодательства в области персональных данных. Внутренний контроль проходит в виде внутренних проверок.

7.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных (далее — инцидент).

7.11.1. В случае инцидента ИП в течение 24 часов уведомляет Роскомнадзор: об инциденте, его предполагаемых причинах и вреде, причиненном правам субъекта персональных данных, принятых мерах по устранению последствий инцидента.

7.11.2. В течение 72 часов ИП обязан уведомить Роскомнадзор о результатах внутреннего расследования и предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

7.12. В случае предоставления подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней.

8. Ответственность за нарушение норм, регулирующих обработку персональных данных

8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.