Положение о работе с персональными данными работников и третьих лиц от «16» октября 2023 г.

Положение о работе с персональными данными работников и третьих лиц
от «16» октября 2023 г.

1. Общие положения

1.1. Настоящее Положение (далее – Положение) устанавливает порядок обработки персональных данных субъектов настоящего Положения - работников и третьих лиц (далее - Субъекты) Индивидуальным предпринимателем Губиным Дмитрием Викторовичем (далее - Оператор), разработано в соответствии с Конституцией, Трудовым кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ, Федеральным законом от 30.12.2020 № 519-ФЗ и иными нормативно-правовыми актами, действующими на территории России.
1.2. Настоящее Положение определяет порядок сбора, учета, обработки, накопления, использования, распространения и хранения персональных данных Субъектов и гарантии конфиденциальности сведений о Субъектах, предоставленных Оператору.
1.3. Цель настоящего Положения – защита персональных данных Субъектов, Оператором, от несанкционированного доступа и разглашения. Персональные данные Субъектов лиц являются конфиденциальной, строго охраняемой информацией.
1.4. В целях настоящего Положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к Субъектам персональных данных.
1.5. В состав персональных данных, которые Субъекты сообщают Оператору, входят:
• фамилия, имя, отчество;
• пол;
• дата рождения;
• место рождения;
• возраст;
• гражданство;
• сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
• адрес места проживания;
• паспортные данные;
• сведения о воинском учете;
• страховой номер индивидуального лицевого счета;
• сведения о трудовой деятельности;
• биометрические персональные данные;
• сведения о семейном положении;
• специальные персональные данные: сведения о судимости, сведения о состоянии здоровья;
• иные сведения, которые относятся к трудовой деятельности Субъектов.
1.6. Документами, которые содержат персональные данные Субъектов, являются:
• комплекты документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
• комплекты материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
• подлинники и копии приказов (распоряжений) по кадрам;
• личные дела, трудовые книжки, сведения о трудовой деятельности Субъектов;
• дела, содержащие материалы аттестаций Субъектов;
• дела, содержащие материалы внутренних расследований;
• справочно-информационный банк данных по персоналу (картотеки, журналы);
• копии отчетов, направляемых в государственные контролирующие органы.
1.7. Настоящее Положение и изменения к нему утверждаются Индивидуальным предпринимателем Губиным Дмитрием Викторовичем и вводятся соответствующим приказом. Все Субъектов должны быть ознакомлены под подпись с настоящим Положением.
1.8. Настоящее Положение вступает в силу с «16» октября 2023 г.
2. Получение и обработка персональных данных Субъектов
2.1. Персональные данные Субъектов Оператор получает непосредственно от них. Оператор вправе получать персональные данные Субъектов от третьих лиц, только при наличии письменного согласия Субъектов или, в иных случаях, прямо предусмотренных в законодательстве.
2.2. Оператор должен сообщить Субъектам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъектов дать письменное согласие на их получение.
2.3. Оператор не вправе требовать от Субъектов представления персональных данных, которые не характеризуют Субъектов как сторону трудовых отношений.
2.4. Субъекты предоставляют Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, представленные Субъектами, с имеющимися у них документами.
2.5. Чтобы обрабатывать персональные данные Субъектов, Оператор, получает от каждого Субъекта согласие на обработку персональных данных. Такое согласие Оператор получает, если закон не предоставляет Оператору права обрабатывать персональные данные без согласия Субъектов.
2.6. Согласие на обработку персональных данных может быть отозвано Субъектом. В случае отзыва Субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.
3. Хранение персональных данных Субъектов
3.1. Индивидуальный предприниматель Губин Дмитрий Викторович обеспечивает защиту персональных данных Субъектов от неправомерного использования или утраты.
3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе кадров, в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел кадров.
3.3. Персональные данные Субъектов могут также храниться в электронном виде, в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные Субъектов, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются Индивидуальным предпринимателем Губиным Дмитрием Викторовичем и сообщаются индивидуально Субъектам, имеющим доступ к персональным данным Субъектов.
3.4. Изменение паролей производится Индивидуальным предпринимателем Губиным Дмитрием Викторовичем не реже одного раза в два месяца.
3.5. Доступ к персональным данным Субъектов имеет Индивидуальный предприниматель Губин Дмитрий Викторович, а также непосредственный руководитель Субъекта. Специалисты отдела кадров – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения Индивидуального предпринимателя Губина Дмитрия Викторовича.
3.6. Копировать и делать выписки из персональных данных Субъектов разрешается исключительно в служебных целях с письменного разрешения Индивидуального предпринимателя Губина Дмитрия Викторовича.
4. Использование персональных данных работников
4.1. Персональные данные Субъектов используются для целей, связанных с выполнением Субъектами трудовых и иных функций. Оператор для этой цели запрашивает у Субъекта:
• общие персональные данные: фамилию, имя, отчество, дату, месяц и год рождения, место рождения, адрес, сведения о семейном положении; сведения об образовании, профессии;
• специальные категории персональных данных: сведения о состоянии здоровья, сведения о судимости;
• биометрические персональные данные: фото в бумажном и электронном виде.
4.2. Персональные данные, представленные Субъектами, обрабатываются Автоматизированным и без использования средств автоматизации способами. Оператор не принимает, не снимает и не хранит копии личных документов Субъектов. Документы, которые Субъекты предъявляют Оператору для хранения в оригинале (справки, медицинские заключения и т. д.), хранятся в личном деле Субъекта, в течение 50 лет, после расторжения с Субъектом соответствующего договора.
4.3. После истечения срока нормативного хранения документов, которые содержат персональные данные Субъектов, документы подлежат уничтожению. Для этого Оператор создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы уничтожаются в шредере. Персональные данные Субъектов в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.
4.4. При принятии решений, затрагивающих интересы Субъекта, Оператор не имеет права основываться на персональных данных Субъекта, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Оператор также не вправе принимать решения, затрагивающие интересы Субъекта, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных Субъекта невозможно достоверно установить какой-либо факт, Оператор предлагает Субъекту представить письменные разъяснения.
5. Передача и распространение персональных данных работников
5.1. При передаче Оператором персональных данных Субъект должен дать на это согласие в письменной или электронной форме. Если Субъект оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.
5.2. Оператор вправе передать информацию, которая относится к персональным данным Субъекта, без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
5.3. Оператор не вправе предоставлять персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, установленных законодательством.
5.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным Субъекта, Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело Субъекта.
5.5. Персональные данные Субъекта могут быть переданы представителю Субъекта в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
5.6. Оператор не вправе распространять персональные данные Субъектов третьим лицам без согласия Субъекта на передачу таких данных.
5.7. Согласие на обработку персональных данных, разрешенных Субъектом для распространения, оформляется отдельно от иных согласий Субъекта персональных данных на обработку его персональных данных.
5.8. Оператор обязан обеспечить Субъекту возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
5.9. В случае, если из предоставленного Субъектом согласия на распространение персональных данных не следует, что Субъект согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
5.10. В случае, если из предоставленного Субъектом согласия на передачу персональных данных не следует, что Субъект не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых Субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) к неограниченному кругу лиц.
5.11. Согласие Субъекта на распространение персональных данных может быть предоставлено Оператору:
• непосредственно;
• с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
5.12. В согласии на распространение персональных данных Субъект вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении Субъектом данных запретов и условий не допускается.
5.13. Оператор обязан в срок, не позднее трех рабочих дней, с момента получения согласия Субъекта на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных Субъекта для распространения.
5.14. Передача (распространение, предоставление, доступ) персональных данных, разрешенных Оператором для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.
5.15. Действие согласия Субъекта на распространение персональных данных прекращается с момента поступления Оператору требования, указанного в пункте 5.14 настоящего Положения.
5.16. Субъект вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Оператор или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования Субъекта или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Оператор, или третье лицо, обязаны прекратить передачу персональных данных Субъекта в течение трех рабочих дней с момента вступления решения суда в законную силу.
6. Гарантии конфиденциальности персональных данных Субъектов
6.1. Информация, относящаяся к персональным данным Субъектов, является служебной тайной и охраняется законом.
6.2. Субъект вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъектов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.