Положение об обработке персональных данных ООО «Эфекс Системс»

Концепция документа:

Настоящее Положение определяет порядок и условия обработки персональных данных в ООО «Эфекс Системс» с использованием средств автоматизации и без использования таковых средств.

Нормативные ссылки:

Конституция РФ
Трудовой Кодекс Российской Федерации
Гражданский Кодекс Российской Федерации
Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»
Постановление Правительства РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Федеральный закон РФ «Об архивном деле в Российской Федерации» № 125-ФЗ от 22.10.2004 г.
СТД ИСП-1 Договор оказания услуг консультирования в процессе исполнения инвестиционно-строительного проекта
СТД ИСП-5 Лицензионный договор о предоставлении права использования Программного продукта для управления инвестиционным проектом 
СТО СМК 70.22.17 «Управление каталогом лиц»

1. Общие положения

1.1 Настоящее Положение определяет порядок и условия обработки персональных данных (далее — ПД) в ООО «Эфекс Системс» (далее - Оператор) с использованием средств автоматизации и без использования таковых средств.

1.2 Цель разработки Положения об обработке ПД – определение порядка обработки ПД субъектов ПД, обеспечение защиты прав и свобод при обработке их ПД, а также установление ответственности должностных лиц, имеющих доступ к ПД, за невыполнение требований норм, регулирующих обработку и защиту ПД.

1.3 Настоящее Положение разработано в соответствии:

• с Конституцией РФ;
• с Трудовым Кодексом Российской Федерации,
• с Гражданским Кодексом Российской Федерации,
• с Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• с Постановлением Правительства РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4 В настоящем Положении используются следующие понятия, термины и сокращения:

Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

Обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

Автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники.

Распространение ПД — действия, направленные на раскрытие ПД неопределенному кругу лиц.

Предоставление ПД — действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц.

Блокирование ПД — временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).

Уничтожение ПД — действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД.

Обезличивание ПД — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.

Информационная система ПД — совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.

Субъект (ПД) — физическое лицо, определяемое на основании ПД, обрабатываемых Оператором.

Трансграничная передача ПД — передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Конфиденциальность ПД — операторы и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

Биометрические ПД — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД.

1.5 Настоящее Положение и изменения к нему утверждаются Решением Оператора.

1.6 Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до замены его новым Положением.

1.7 Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператор, непосредственно осуществляющими обработку ПД и (или) имеющими доступ к ПД. Все сотрудники Оператора должны быть ознакомлены с настоящим Положением и изменениями к нему под подпись.

2. Основные принципы обработки персональных данных

2.1 Обработка ПД Оператора осуществляется на основе принципов:

• Обработка ПД осуществляется на законной и справедливой основе.
• Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
• Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
• Обработке подлежат только ПД, которые отвечают целям их обработки.
• Содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки. Обрабатываемые ПД не являются избыточными по отношению к заявленным целям их обработки.
• При обработке ПД Оператором обеспечены точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
• Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого является субъект ПД.
• Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом

3. Субъекты персональных данных и состав их персональных данных

3.1 Оператор обрабатывает ПД следующих групп субъектов:

• работники – физические лица, состоящие в трудовых отношениях с Оператором или с Заказчиками, в том числе работающие по совместительству и выполняющие работы по договорам оказания услуг (договорам подряда);
• контрагенты – физические лица, состоящие в договорных отношениях с Оператором или Заказчиком.

3.2 К ПД субъектов относятся следующие сведения:

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес проживания, регистрации;
• семейное, социальное, имущественное положение;
• сведения об образовании (наименования оконченных учебных заведений, факультет, специальность, год окончания, диплом №), информация о дополнительном образовании, повышении квалификации, аттестации;
• профессия;
• специальность;
• гражданство;
• паспортные данные;
• ИНН;
• номер страхового свидетельства государственного пенсионного страхования;
• пол;
• общий и трудовой стаж;
• сведения о детях (количество, возраст);
• социальные льготы;
• сведения о воинском учете;
• контактные телефоны;
• данные об опыте работы (сведения о предыдущих местах работы, занимаемых должностях, выполняемых обязанностях, о периоде работы);
• уровень владения иностранными языками;
• профессиональные навыки;
• наименование структурного подразделения, наименование должности;
• сумма дохода;
• сумма вычета;
• номер лицевого счета;
• стаж работы;
• данные прежнего места работы (структурное подразделение)
• информация об аттестации (дата аттестации, решение комиссии, номер, дата протокола);
• информация о повышении квалификации (дата начала и окончания обучения, вид повышения квалификации, наименование образовательного учреждения, серия, №, дата выдачи документа об образовании);
• сведения о профессиональной переподготовке (дата начала и окончания обучения, специальность (направление, профессия), серия, номер, дата выдачи документа);
• информация о наградах (поощрениях), почетных званиях (наименование награды, номер и дата выдачи документа), размер вознаграждения;
• данные об отпусках (вид отпуска, период, дата начала и окончания отпуска);
• табель о явках и неявках на работу по числам месяца, количество неявок, причины неявок;
• количество отработанных часов за месяц, количество выходных и праздничных дней;
• сведения о социальных льготах, на которые сотрудник имеет право в соответствии с законодательством (наименование льготы, номер и дата выдачи документа);
• номер, дата трудового договора;
• испытательный срок;
• место назначения, дата начала и окончания, срок и цель командировки;
• сведения о наличии водительских прав(категория, стаж); серия и номер трудовой книжки или вкладыша в неё;
• основание прекращения (расторжения) трудового договора (увольнения), причина увольнения, дата увольнения, номер и дата приказа; а также дополнительную информацию в соответствии с требованиями ст. 65 Трудового кодекса РФ.

3.3 К документам (в бумажном и (или) электронном виде, копии), содержащим ПД субъектов, относятся:

• паспорт или иной документ, удостоверяющий личность;
• свидетельство о постановке на учет в налоговом органе и присвоении ИНН;
• страховое пенсионное свидетельство;
• документ воинского учета;
• документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
• документы, содержащие сведения о заработной плате, доплатах и надбавках;
• заявление о приеме на работу;
• трудовой договор;
• приказ (распоряжение) о приеме (форма Т-1, Т-1а);
• личная карточка сотрудника (форма Т-2);
• личное дело сотрудника;
• трудовая книжка;
• приказ (распоряжение) о переводе сотрудника на другую работу (форма Т-5,Т-5а);
• приказ (распоряжение) о предоставлении отпуска работнику (форма Т-6);
• график отпусков (форма Т-7);
• заявление об увольнении;
• приказ (распоряжение) о прекращении (расторжении) трудового договора с работником (увольнении) (форма Т-8, Т-8а);
• приказ (распоряжение) о направлении работника в командировку (форма Т-9, Т-9а);
• командировочное удостоверение (форма Т-10);
• служебное задание для направления в командировки и отчет о его выполнении (форма Т-10а); приказ (распоряжение) о поощрении (наказании) работника (форма Т-11,Т-11а);
• справка с места работы;
• справка о доходах физического лица Ф № 2-НДФЛ;
• список работников, подлежащих обязательному медицинскому страхованию и медосмотру; резюме.

4. Цели обработки персональных данных

4.1 Обработка Оператором ПД субъектов, указанных в разделе 3, осуществляется в целях:

• ведения кадровой работы (ведение и хранение личных дел, трудовых книжек);
• заключения трудовых и иных договоров, доп. соглашений к трудовым договорам;
• начисления и выплаты заработной платы работникам;
• обработки ПД в информационных системах (ИСПД);
• оформления доверенностей;
• оформления документов по воинскому учету в военкоматах в установленном порядке, составления списков призывников для военкоматов;
• использования ПД для реализации права сотрудника на участие в деятельности первичной профсоюзной УК общества, в том числе при отчислении профсоюзных взносов;
• подготовки документов для прохождения обучения, аттестации, переквалификации;
• передачи в ИФНС, УПФ РФ, ФСС индивидуальных сведений о начисленных страховых взносов на обязательное пенсионное страхование и данных о трудовом стаже; ЦЗН;
• исполнения обязательств по договорам.

5. Условия обработки персональных данных Оператором

5.1 Обработка ПД должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Положением.

5.2 Обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД.

5.2.1 При условии, что получение согласия субъекта ПД невозможно и обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, то обработка ПД субъекта ПД осуществляется без его согласия.

5.3 Обработка ПД необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД.

5.4 Осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом.

5.5 Лицо, осуществляющее обработку ПД по поручению Оператора, не обязано получать согласие субъекта ПД на обработку его ПД.

5.6 Лицо, осуществляющее обработку ПД по поручению Оператора, несет ответственность перед Оператором.

6. Доступ к обрабатываемым персональным данным

6.1 В целях разграничения полномочий при обработке ПД полномочия по реализации каждой определенной законодательством функции закрепляются за соответствующими работником Должностной инструкцией.

6.2 Доступ Работников к обрабатываемым ПД осуществляется в соответствии с их должностными обязанностями. Допуск Работников к обработке ПД осуществляется согласно перечню типовых полномочий (ролей пользователей), указанных в должностных инструкциях.

6.3 К обработке, передаче и хранению персональных данных, обрабатываемых в информационной системе Оператора, могут иметь доступы сотрудники следующих структурных подразделений:

• Администрация;
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.

6.4 Использование персональных данных возможно только в соответствии с перечнем услуг, оказываемых в рамках договоров СТД ИСП-1 Договор оказания услуг консультирования в процессе исполнения инвестиционно-строительного проекта и СТД ИСП-5 Лицензионный договор о предоставлении права использования Программного продукта для управления инвестиционным проектом, Трудовых договоров, Договоров подряда.

7. Получение персональных данных

7.1 Субъект ПД самостоятельно принимает решение о предоставлении своих ПД и дает письменное согласие на их обработку Оператору.

7.2 Для осуществления обработки ПД субъектов ПД Оператору необходимо получать согласие на обработку их ПД и на передачу ПД третьим лицам по форме, представленной в Приложении № 1 к настоящему Положению.

7.3 Согласие на обработку ПД может быть отозвано субъектом ПД. Форма отзыва согласия на обработку ПД представлена в Приложении № 2 к настоящему Положению.

7.4 Сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность (биометрические ПД), и которые используются Оператором для установления личности субъекта ПД, могут обрабатываться только при наличии согласия субъекта в письменной форме.

7.5 В случае смерти субъекта согласие на обработку его ПД дают наследники субъекта ПД, если такое согласие не было дано субъектом при его жизни.

7.6 В случае недееспособности субъекта ПД согласие на обработку его ПД дает законный представитель субъекта ПД.

8. Передача персональных данных

8.1 При передаче ПД субъекта Оператор обязан соблюдать следующие требования:

• не сообщать ПД субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;
• предупреждать лица, получающие ПД субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных ПД;
• не сообщать ПД субъекта в коммерческих целях без его письменного согласия;
• передавать ПД субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПД субъекта, которые необходимы для выполнения указанными представителями их функций;
• не отвечать на вопросы, связанные с передачей ПД субъекта по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими работниками своих непосредственных должностных обязанностей, адресатам, в чью компетенцию входит получение такой информации.

9. Хранение и защита персональных данных

9.1 Защита персональных данных:

9.1.1 Безопасность ПД достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПД, а также иных несанкционированных действий.

9.1.2 ПД защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами РФ, нормативно-распорядительными актами и рекомендациям регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора.

9.1.3 Защита персональных данных от неправомерного использования или утраты обеспечивается Оператором за счет средств Оператора в порядке, установленном федеральным законом.

9.1.4 Для обеспечения внутренней защиты персональных данных соблюдаются следующие меры:

• ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
• распределение документов и информации между сотрудниками избирательно и обоснованно;
• рациональное размещение рабочих мест сотрудников для исключения бесконтрольного использования защищаемой информации;
• знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• определение и регламентация состава сотрудников, имеющих право доступа в помещение, в котором находятся носители с персональными данными;
• своевременное выявление нарушения требования разрешительной системы доступа работниками подразделения;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• иные меры, направленные на обеспечение защиты персональных данных.

9.2 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.

9.3 Бумажные носители с персональными данными хранятся в следующих подразделениях Оператора:

• Администрация;
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.

9.4 Для обеспечения защиты персональных данных, обрабатываемыми Оператором, применяются следующие меры:

• издание внутренних нормативных документов по вопросам обработки персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и внутренним нормативным документам Оператора;
• использование для электронного документооборота Оператора аттестованной автоматизированной системы класса защищенности 2Б;
• осуществление доступа сотрудников в систему электронного документооборота Оператора с использованием индивидуальных логинов и паролей;
• разграничение прав доступа по категориям в зависимости от выполняемых функциональных обязанностей по принципу минимизации прав в соответствии с приложениями СТО СМК 70.22.17 «Управление каталогом лиц»;
• обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора;
• использование сертифицированных СКЗИ;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, внутренними нормативными документами Оператора по вопросам обработки персональных данных, а также обучение указанных сотрудников.

10. Уничтожение персональных данных

10.1 Оператор обеспечивает уничтожение обрабатываемых ПД, которое осуществляется другим лицом, действующим по поручению Оператора в следующих случаях:

• в случае достижения цели обработки ПД - в срок, не превышающий тридцати дней с даты достижения цели обработки ПД;
• в случае отзыва субъектом ПД согласия на обработку своих ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
• в случае выявления неправомерной обработки с ПД и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД.

10.2 Документы, содержащие ПД, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

10.3 В случае отсутствия возможности уничтожения ПД в течении, указанных выше сроков, Оператор обеспечивает блокирование ПД, которое осуществляется другим лицом, действующим по поручению Оператора и обеспечивает уничтожение ПД в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.

11. Правила работы с обезличенными персональными данными

11.1 Под обезличиванием ПД понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту Оператора.

11.2 Обезличивание ПД при обработке ПД с использованием средств автоматизации осуществляется с целью выполнения требований по предоставлению отчетности по результатам деятельности в соответствии с нормативными документами органов государственной власти и управления, а также в связи с достижением целей обработки ПД.

11.3 Допускается обезличивание ПД при обработке ПД без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

12. Обеспечение конфиденциальности персональных данных

12.1 Работниками Оператора, получающими доступ к ПД, должна обеспечиваться конфиденциальность таких данных, а именно Работники обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД.

12.2 Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные соответствующими Федеральными законами. В поручении Оператора должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

12.3 В случае, если Оператор поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Оператор. Во всех договорах с третьими лицами должно соблюдаться существенное условие обеспечения конфиденциальности.

13. Права субъекта персональных данных на доступ к его персональным данным

13.1 Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

13.2 Сведения предоставляются субъекту ПД или его представителю Оператором при обращении либо при получении запроса субъекта ПД или его представителя.

13.3 Сведения должны быть предоставлены субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.

13.4 Оператор вправе отказать субъекту ПД в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

13.5 Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:

• подтверждение факта обработки ПД оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые оператором способы обработки ПД;
• наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.

13.6 Если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.

14. Обязанности Оператора по обработке персональных данных

14.1 При сборе ПД Оператор обязан предоставить субъекту ПД по его просьбе следующую информацию:

• подтверждение факта обработки ПД Оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые Оператором способы обработки ПД;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.

14.2 Если предоставление ПД является обязательным в соответствии с Федеральным законом, Оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить его ПД.

14.3 Если ПД получены не от субъекта ПД, Оператор, за исключением случаев, предусмотренных в пункте 14.4. положения, до начала обработки таких ПД обязан предоставить субъекту ПД следующую информацию:

• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки ПД и ее правовое основание;
• предполагаемые пользователи ПД;
• установленные настоящим Федеральным законом права субъекта ПД;
• источник получения ПД.

14.4 Оператор освобождается от обязанности предоставить субъекту ПД сведения, предусмотренные в пункте 14.3, в случаях, если:

• субъект ПД уведомлен об осуществлении обработки его ПД соответствующим Оператором;
• ПД получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
• ПД сделаны общедоступными субъектом ПД или получены из общедоступного источника;
• предоставление субъекту ПД сведений, предусмотренных в пункте 14.З., нарушает права и законные интересы третьих лиц.

14.5 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими Федеральными законами.

14.6 Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД. Оператор, осуществляющий сбор ПД с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

15. Взаимодействие с контрольно-надзорными органами

15.1 При поступлении запроса от уполномоченного органа по защите прав субъектов ПД (Роскомнадзор) Оператор сообщает информацию, необходимую для осуществления деятельности указанного органа, в течение установленного срока в запросе.

15.2 В случае выявления недостоверных ПД или неправомерных действий с ними по запросу уполномоченного органа по защите прав субъектов ПД Оператор обязан осуществить блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.

15.3 В случае выявления неточных ПД по запросу уполномоченного органа по защите прав субъектов ПД Оператор обязан осуществить блокирование ПД, относящихся к этому субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) с момента получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.

15.4 В случае подтверждения факта неточности ПД Оператора на основании сведений, представленных уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов обязан уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) в течении установленного срока в представлении таких сведений и снять блокирование ПД.

15.5 В случае выявления неправомерной обработки ПД, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, Оператор обязан прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Оператора.

15.6 В случае, если обеспечить правомерность обработки ПД невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД, обязан уничтожить такие ПД или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПД Оператор обязан уведомить по запросу Роскомнадзор.

15.7 При проведении контрольно-надзорных мероприятий за выполнением требований к обеспечению безопасности ПД при их обработке в информационных системах ПД, требований к материальным носителям биометрических ПД и технологиям хранения таких данных вне информационных систем ПД, осуществляемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), представители вышеуказанных контрольно-надзорных органов не имеют права на ознакомление с ПД, обрабатываемыми в информационных системах ПД Оператора.

15.8 При проведении контрольно-надзорных мероприятий в отношении Оператора контрольно-надзорными органами, не осуществляющими контроль и надзор в сфере обработки ПД, представители вышеуказанных контрольно-надзорных органов имеют право на доступ к ПД только в сфере своей компетенции и в пределах своих полномочий в соответствии с законодательством Российской Федерации.

16. Особенности передачи персональных данных третьим лицам

16.1 Доступ со стороны третьих лиц к персональных данным осуществляется только с письменного согласия субъекта ПД, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью работника или других лиц, и иных случаев, установленных законодательством Российской Федерации.

16.2 Оператор обязан сообщать ПД по надлежаще оформленным запросам суда, прокуратуры и правоохранительных органов.

16.3 При передаче ПД Оператор обязан соблюдать следующие условия:

• не сообщать ПД третьей стороне без письменного согласия субъекта ПД, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПД, а также в случаях, установленных законодательством Российской Федерации;
• не сообщать ПД субъекта ПД в коммерческих целях без его письменного согласия;
• предупредить лиц, получивших ПД субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• осуществлять передачу ПД субъектов в пределах и за пределы УК в соответствии с настоящим Положением;
• разрешать доступ к ПД только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретной функции;
• передавать ПД представителям субъекта в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми ПД, которые необходимы для выполнения указанными представителями их функций.

16.4 Оператор вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом Договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего Акта (далее поручение Оператора). Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД. В поручении Оператора должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

17. Ответственность за разглашение конфиденциальной информации, содержащей персональные данные

17.1 Каждый работник Оператора, получающий доступ к конфиденциальному документу, содержащему ПД, несет персональную ответственность за сохранность носителя и конфиденциальность информации.

17.2 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД работников, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами и полную материальную ответственность в случае причинения их действиями ущерба в соответствии с п.7 ст. 243 Трудового кодекса Российской Федерации.

17.3 Моральный вред, причиненный субъекту ПД вследствие нарушения его прав, нарушения правил обработки ПД, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также требований к защите ПД, установленных в соответствии с Законом, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.

Приложение 1
к Положение об обработке персональных данных ООО «Эфекс Системс»

Согласие на обработку персональных данных ООО «Эфекс Системс»

Я, _____________________________________________________________________________________________________________,

(Ф.И.О. полностью)

_____________________________________________________________________________________________________

(данные документа, удостоверяющего личность: вид документа, серия, номер,

_____________________________________________________________________________________________________

сведения о дате выдачи и выдавшем его органе)

зарегистрированный(ая) по адресу:__________________________________________________________________________________

(адрес регистрации)

именуемый в дальнейшем «Субъект персональных данных», в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» даю согласие ____________________________________________________________________

(наименование и адрес регистрации организации-Застройщика)

__________________________________________________________________________________________________, именуемому в дальнейшем «Оператор», на передачу и обработку своих персональных данных следующим организациям:

• ООО «Эфекс Системс» (Местонахождение: г.Челябинск, ул.Каслинская, д.5/3 офис 303), именуемое в дальнейшем – «Оператор -1»,

• ООО «Экспертиза» (Местонахождение: г.Челябинск, ул.Каслинская, д.5), именуемое в дальнейшем – «Оператор -2»,

• ООО «Управляющая компания «Стройком» (Местонахождение: г.Челябинск, ул.Каслинская, д.5), именуемое в дальнейшем – «Оператор-3»

совместно с Оператором именуемые «Операторы», на следующих условиях:

1. Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы для достижения целей, предусмотренных настоящим согласием, включая без ограничения: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и любые другие действия (операции) с персональными данными с учетом действующего законодательства. В случае необходимости предоставления моих персональных данных третьим лицам для достижения целей, предусмотренных настоящим согласием, а равно как привлечение третьих лиц, передачи Операторами принадлежащих им функций и полномочий, Операторы вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным им лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию с соблюдением условий о конфиденциальности персональных данных. Настоящее согласие считается данным мной любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия. Операторы вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные документы, предусмотренные документами, регламентирующими представление отчетных данных (документов).

2. Обработка персональных данных осуществляется Операторами с использованием средств автоматизации, а также без использования средств автоматизации.

3. Перечень персональных данных, передаваемых Операторам на обработку:

фамилия, Имя, Отчество; Дата рождения; Пол, гражданство; Место рождения (населенный пункт, район, область); Данные документа, удостоверяющего личность (серия, номер, кем, когда выдан, код подразделения и др.); ИНН, код ИФНС; Страховой номер свидетельства государственного пенсионного страхования; Адрес регистрации, фактического места жительства, адрес для информирования; Контактные телефоны (домашний, сотовый, рабочий); Электронная почта, Аккаунт в facebook / Страница в сети Интернет; Сведения об образовании (вид образования, учебное заведение, специальность, диплом, год окончания, квалификация); Семейное положение; Сведения о трудовой деятельности (наименование организации, должность, профессия, специальность); Сведения об участии в коммерческих и некоммерческих организациях (наименование организации, вид участия, размер участия и т.д.); Фотография.

4. Целью обработки персональных данных Оператором является организация трудовых и деловых отношений с Субъектом персональных данных, надлежащее исполнение условий трудового договора, обеспечение соблюдения трудового законодательства и иных нормативных правовых актов, обеспечение личной безопасности работников, в том числе Субъекта персональных данных, контроль количества и качества выполняемой работы и обеспечение сохранности имущества, оформление доверенностей.

5. Целью обработки персональных данных Оператором-1 является техническое обслуживание информационных систем и ресурсов, сопровождение использования базы данных, содержащих персональные данные Субъекта персональных данных

Целью обработки персональных данных Оператором-2 является техническое и сервисное обслуживание информационных систем и ресурсов, компьютерной техники, используемой Оператором, сопровождение использования базы данных, содержащих персональные данные Субъекта персональных данных, в том числе общедоступного информационного справочника, оказание услуг по архивному хранению, организации и ведению документооборота Оператора, по изготовлению и сопровождению использования электронной подписи, по обеспечению информационной безопасности.

Целью обработки персональных данных Оператором-3 является сопровождение деятельности Оператора при заключении договора с Субъектом персональных данных, правовая экспертиза заключаемого договора, сопровождение использования базы данных, содержащих персональные данные Субъекта персональных данных, в том числе общедоступного информационного справочника (сайта «Договоры»).

По достижении Оператором целей обработки персональных данных, а именно при расторжении и прекращении заключенного Договора между Оператором и Субъектом персональных данных дальнейшей целью обработки персональных данных, указанных в настоящем согласии Операторами будет являться информирование Субъекта персональных данных о коммерческих предложениях и предложениях по сотрудничеству, отправка поздравительной корреспонденции, в том числе по средствам электронной почты и отправки sms, размещение персональных данных в Базах данных для формирования кадрового резерва, а также соблюдение требований законодательства.

В целях информационного обеспечения, функционирования информационных систем обеспечения, Субъект персональных данных дает согласие на включение в общедоступные источники персональных данных (страницы в сети «Интернет», справочники, адресные книги, Базы данных) следующие персональные данные: Фамилия, Имя, Отчество, Контактный телефон, Адрес электронной почты, Сведения о профессиональной деятельности, Адрес (Местонахождение) работы, Фотографии, которые в соответствии с частью 1 статьи 8 ФЗ №152 от 27.07.2006 г. «О персональных данных» будут считаться общедоступными персональными данными.

6. Настоящее согласие действует в течение 75 лет и может быть отозвано путем направления Оператору заявления в письменной форме об отзыве согласия. Оператор обязан обеспечить прекращение обработки персональных данных остальными Операторами. При этом Операторы прекращают обработку персональных данных и уничтожают их в течение 30 дней с момента получения отзыва согласия, за исключением персональных данных включенных в документы, обязанность по хранению которых прямо предусмотрена законодательством и внутренними документами Оператора. Хранение таких персональных данных осуществляется Оператором в течение срока, установленного законодательством и внутренними документами Операторов. При этом в случае отзыва согласия на обработку персональных данных Операторы вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ № 152 от 27.07.2006 г. «О персональных данных».

В соответствии с частью 4 статьи 14 ФЗ № 152 от 27.07.2006 г. «О персональных данных» Субъект персональных данных по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных.

7. Субъект персональных данных подтверждает, что персональные данные могут быть получены Операторами от любых третьих лиц при условии получения согласия у Субъекта персональных данных.

Подтверждаю, что ознакомлен (а) с положениями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.

/ /

(дата) (подпись) (расшифровка подписи)

Приложение 2
к Положение об обработке персональных данных ООО «Эфекс Системс»

Форма отзыва Согласия на обработку персональных данных ООО «Эфекс Системс»

Заявление

Прошу Вас прекратить обработку моих персональных данных в связи с __________________________

___________________________________________________________________________________________
(указать причину)

_______________________ ________________ / ___________________________

(дата) (подпись) (расшифровка подписи)