Политика в отношении обработки персональных данных

1.Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в ООО «Южная оценочная компания «Эксперт» (далее — Политика) разработана в целях реализации требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, обрабатываемых ООО «Южная оценочная компания «Эксперт» (далее — Организация/Оператор).

Политика определяет общий порядок, принципы и условия обработки персональных данных Оператором и обеспечивает защиту прав субъектов персональных данных при обработке их персональных данных.

1.2. Политика распространяется на отношения по обработке персональных данных, возникшие в Организации, как до, так и после утверждения настоящей Политики.

1.3. Политика распространяется на все действия Оператора, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.

1.4. Политика, в том числе, предназначена для публикации на сайте Оператора и информационных стендах в целях ознакомления с ней неограниченного круга лиц.

1.5. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.6. Внесение изменений (дополнений) в Политику, включая приложения к ней, производится Оператором в одностороннем порядке, на основании приказа.

1.7. Все изменения (дополнения), вносимые Оператором в Политику, вступают в силу и становятся обязательными с даты подписания приказа об утверждении новой версии Политики и последующего размещения актуальной версии на сайте Оператора и на информационных стендах в течение 1 рабочего дня.

1.8. Контроль за исполнением требований Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Организации.


2.Основные термины и понятия

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных — Организация, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Конфиденциальность персональных данных - обязательное для выполнения оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Смешанная обработка персональных данных — обработка персональных данных, осуществляющаяся с использованием средств автоматизации и без использования таких средств.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Сайт — веб-сайт Оператора в информационно-телекоммуникационной сети «Интернет» по адресу expertyug.ru/


3. Основные права и обязанности Оператора персональных данных

3.1. Оператор вправе:

· осуществлять обработку персональных данных при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки и требованиям законодательства РФ, положениям настоящей Политики и иных локальных актов Оператора;

· поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;

· в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить их обработку без согласия субъекта персональных данных при наличии правовых оснований, установленных законодательством Российской Федерации;

· получить персональные данные от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия правовых оснований, установленных законодательством Российской Федерации;

· отказывать субъекту персональных данных в предоставлении персональных данных в случаях, предусмотренных Федеральным законом «О персональных данных»;

· привлекать к дисциплинарной ответственности работников Организации, к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.

3.2. Оператор обязан:

· не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;

· безвозмездно предоставлять субъекту персональных данных или его представителю возможность ознакомления с обрабатываемыми персональными данными субъекта;

· по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы;

· разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку, если предоставление персональных данных и (или) получение Оператором согласия на их обработку является обязательным в соответствии с законодательством Российской Федерации;

· если персональные данные получены не от субъекта персональных данных, за исключением случаев, предусмотренных 152-ФЗ «О персональных данных», до начала обработки таких персональных данных Оператор обязан предоставить субъекту персональных данных следующую информацию:

o наименование и адрес местонахождения Оператора;

o цель обработки персональных данных и ее правовое основание;

o перечень персональных данных;

o предполагаемые пользователи персональных данных;

o права субъекта персональных данных;

o источник получения персональных данных.

· при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных Федеральном законе «О персональных данных»;

· разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения;

· принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

· сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса;

· осуществлять обработку запросов субъектов персональных данных в соответствии с порядком, установленным в гл. 12 настоящей Политики;

· устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных;


4. Основные права и обязанности субъекта персональных данных

4.1. Субъекты персональных данных или их законные представители имеют право:

· получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

подтверждение факта обработки персональных данных Оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые Оператором способы обработки персональных данных;

наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона «О персональных данных»;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;

иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

· свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;

· отзывать свое согласие на обработку персональных данных;

· требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

· при отказе Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

· требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

· обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке любые неправомерные действия или бездействие Оператора, или уполномоченного им лица, осуществляемые при обработке и защите персональных данных субъекта;

· требовать возмещения убытков и (или) компенсацию морального вреда в судебном порядке в случае нарушения своих прав и законных интересов в сфере обработки персональных данных;

· иные права, предусмотренные законодательством о персональных данных.

4.2. Субъекты персональных данных или их законные представители, обязаны:

· предоставлять Оператору достоверную и полную информацию о себе;

· своевременно уведомлять Оператора обо всех изменениях персональных данных, что обусловлено соблюдением Оператором норм трудового, пенсионного, налогового законодательства, законодательства о воинском учете и о социальном обеспечении. Об изменении персональных данных такая категория субъектов, как работники Оператора, обязаны уведомить последнего в 7-миднеевный срок с момента таких изменений.


5. Цели сбора и обработки персональных данных

5.1. Оператор осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных.

5.2. Цели обработки персональных данных определяются, в том числе, из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов Оператора.

5.3. Оператор обрабатывает персональные данные для осуществления своей деятельности в соответствии с уставом, но, не ограничиваясь, для достижения следующих целей:

5.3.1. Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников.

5.3.2. Привлечение и отбор кандидатов на замещение вакантных должностей.

5.3.3. Заключение, исполнение и прекращение гражданско-правовых договоров, стороной которых является Оператор.

5.3.4. Рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа (обращения). Осуществление личного приема граждан.


6. Категории субъектов персональных данных

6.1. Для достижения Оператором целей, заявленных в пункте 5.3 Политики, осуществляется обработка следующих категорий Субъектов:

— работники Оператора;

— бывшие работники Оператора;

— кандидаты на замещение вакантных должностей Оператора;

— родственники работников Оператора;

— клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители;

— представители/работники клиентов и контрагентов Оператора (юридических лиц).

6.2. Для достижения цели «Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников» Оператор осуществляет обработку персональных данных следующих категорий Субъектов:

— работники Оператора;

— бывшие работники Оператора;

— родственники работников Оператора.

6.3. Для достижения цели «Привлечение и отбор кандидатов на замещение вакантных должностей» Оператор осуществляет обработку персональных данных следующих категорий Субъектов:

— кандидаты на замещение вакантных должностей, представившие свои резюме или анкеты, содержащие персональные данные, лично или через специализированные организации по подбору персонала (кадровые агентства), в том числе через специализированные приложения или сайты в сети Интернет.

6.4. Для достижения цели «Заключение, исполнение и прекращение гражданско-правовых договоров, стороной которых является Оператор» Оператор осуществляет обработку персональных данных следующих категорий Субъектов:

— представители/работники клиентов и контрагентов Оператора (юридических лиц);

— клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители.

6.5. Для достижения цели «Рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа (обращения). Осуществление личного приема граждан» Оператор осуществляет обработку персональных данных следующих категорий Субъектов:

— представители/работники клиентов и контрагентов Оператора (юридических лиц);

— клиенты и контрагенты Оператора (физические лица) либо их уполномоченные представители.


7. Правовые основания обработки персональных данных

7.1. Правовыми основаниями обработки персональных данных, в зависимости от целей обработки, являются в том числе, но не ограничиваясь:

— Конституция Российской Федерации;

— Трудовой кодекс Российской Федерации;

— Гражданский кодекс Российской Федерации;

— Налоговый кодекс Российской Федерации;

— Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;

— Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

— Устав Организации;

— правила внутреннего трудового распорядка;

— договор оказания услуг/выполнения работ, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект;

— согласие на обработку персональных данных.


8. Категории и перечень обрабатываемых персональных данных

8.1. Для достижения цели «Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников» Оператор осуществляет обработку следующих персональных данных (за исключением родственников работника Оператора):

8.1.1. Общие персональные данные:

— фамилия, имя, отчество;

— пол;

— гражданство;

— дата и место рождения;

— адрес места жительства и регистрации;

— номера телефонов, адрес электронной почты;

— замещаемая должность;

— сведения о трудовой деятельности (наименования организаций (органов) и занимаемых должностей, продолжительность работы (службы) в этих организациях (органах));

— сведения о номере и серии страхового свидетельства государственного пенсионного страхования;

- сведения об идентификационном номере налогоплательщика;

— данные паспорта или иного удостоверяющего личность документа;

— данные трудовой книжки, вкладыша в трудовую книжку;

— сведения о воинском учете (категория запаса; воинское звание; профиль; военноучётная специальность; категория годности к военной службе);

— сведения об образовании (наименование образовательной организации, дата окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);

— сведения о получении дополнительного профессионального образования (дата, место, программа, реквизиты документов, выданных по результатам);

— копии документов, содержащих персональные данные (паспорта, свидетельства ИНН, СНИЛС, документов об образовании, свидетельство о рождении детей, свидетельство о заключении брака, свидетельство о расторжении брака);

— семейное положение, наличие детей;

— банковские реквизиты;

— сведения о стаже работы;

— сведения о приеме на работу и переводе на другую работу;

— сведения о наградах, иных поощрениях и знаках отличия (название награды, поощрения, знака отличия, датаприсвоения, реквизиты документа о награждении или поощрении);

— структурное подразделение;

— должность;

— сведения о доходах;

- информация о поощрениях и наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах;

— данные о командировании, рабочем времени;

— прочая информация, указанная в трудовом договоре, личной карточке работника, трудовой книжке и кадровых документах, полученная в течение срока действия трудового договора.

8.1.2. Специальные персональные данные:

— сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции.

8.2. Для достижения цели, указанной в п. 5.3.1. настоящей Политики персональные данные родственников работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций работнику, предусмотренных трудовым законодательством:

8.2.1. Общие персональные данные:

— фамилия, имя, отчество;

— дата и место рождения;

— степень родства;

— данные паспорта или иного удостоверяющего личность документа;

— серия и номер свидетельства о рождении ребенка, сведения о выдаче указанного документа и выдавшем его органе;

— данные, содержащиеся в справке об инвалидности ребенка;

— данные, содержащиеся в справке из образовательного учреждения ребенка;

— иные персональные данные, предоставляемые работниками Организации в соответствии с требованиями трудового законодательства Российской Федерации.

8.3. Для достижения цели «Привлечение и отбор кандидатов на замещение вакантных должностей» Оператор осуществляет обработку следующих персональных данных:

8.3.1. Общие персональные данные:

— фамилия, имя, отчество;

— пол;

— гражданство;

— дата и место рождения;

— номера телефонов, адрес электронной почты;

— сведения о квалификации (уровне знаний, умений, профессиональных навыков и опыта работы);

— сведения о местах работы, ее продолжительности (стаже) и характере исполняемых обязанностей, и занимаемых должностях;

— сведения об образовании, в том числе об общем и профессиональном образовании, профессиональном обучении, дополнительном образовании;

— иные персональные данные, которые соискатель включает в резюме и (или) сопроводительные письма по своему усмотрению.

8.4. Для достижения цели «Заключение, исполнение и прекращение гражданско-правовых договоров, стороной которых является Оператор» Оператор осуществляет обработку следующих персональных данных:

8.4.1. Общие персональные данные:

— фамилия, имя, отчество;

— дата и место рождения;

— адрес места жительства и регистрации;

— данные паспорта или иного удостоверяющего личность документа;

— номера телефонов, адрес электронной почты;

— сведения о номере и серии страхового свидетельства государственного пенсионного страхования;

— сведения об идентификационном номере налогоплательщика;

— банковские реквизиты;

— сведения о документе, который подтверждает полномочия представителя;

— иные персональные данные, предоставляемые субъектом персональных данных, необходимые для заключения и исполнения договоров.

8.5. Для достижения цели «Рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа (обращения). Осуществление личного приема граждан» Оператор осуществляет обработку следующих персональных данных:

8.5.1. Общие персональные данные:

— фамилия, имя, отчество;

— адрес места жительства;

— номера телефонов, адрес электронной почты;

— иные персональные данные, предоставленные субъектом персональных данных по своему усмотрению.


9. Порядок и условия обработки персональных данных

9.1. Обработка Оператором персональных данных допускается при наличии согласия Субъекта на обработку его персональных данных. Согласие может быть выражено в форме совершения действий, проставления соответствующих отметок, заполнения полей в формах, бланках или оформлено в письменной форме в соответствии с законодательством Российской Федерации.

В соответствии с пунктами 2−11 части 1 статьи 6 Федерального закона «О персональных данных» допускается обработка персональных данных без согласия Субъекта, в том числе для достижения целей, указанных в п. 5.3.1, 5.3.2. (при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц), 5.3.3. и 5.3.4. настоящей Политики.

9.2. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

наименование и адрес Оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;

подпись субъекта персональных данных.

9.3. Обработка персональных данных осуществляется Оператором следующими способами:

o смешанная;

o с передачей по внутренней сети Организации;

o без передачи по сети Интернет.

9.4. Оператор организует обработку персональных данных в следующем порядке:

9.4.1. назначает лицо, ответственное за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;

9.4.2. издает настоящую Политику, иные локальные акты по вопросам обработки персональных данных;

9.4.3. применяет правовые, организационные и технические мер по обеспечению безопасности персональных данных;

9.4.4. осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;

9.4.5. осуществляет оценку вреда, который может быть причинен субъектам персональных данных случае нарушения Федерального закона «О персональных данных», определяет соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом;

9.4.6. знакомит работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

9.5. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, в том числе:

1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;

3) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4) учитывает машинные носители персональных данных;

5) определяет перечень мест хранения материальных носителей персональных данных;

6) организует порядок уничтожения персональных данных по истечении срока их обработки;

7) повышает уровень осведомленности работников о требованиях по обеспечению безопасности персональных данных;

8) организует физическую защиту помещений, в которых осуществляется обработка персональных данных;

9) ведет регистрацию и учет событий информационной безопасности;

10) обнаруживает факты несанкционированного доступа к персональным данным и принимает меры;

11) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

12) устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

9.6. В целях обеспечения сохранности и конфиденциальности персональных данных все операции с персональными данными выполняются только работниками Оператора, осуществляющими данную работу в соответствии с трудовыми обязанностями, а именно:

o руководитель Организации, а также сотрудники его секретариата;

o сотрудники бухгалтерии и кадровой службы Организации;

o сотрудники юридической службы Организации;

o работник отдела, который ответственен за исполнение гражданско-правового договора, стороной которого является субъект персональных данных (только в отношении категории субъектов согласно п. 6.4. настоящей Политики).

При этом указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных трудовых функций.

Начальник отдела кадров обязан предоставлять персональную информацию в пенсионный фонд, фонд обязательного медицинского страхования (ФОМС), фонд социального страхования (ФСС), федеральную налоговую службу (ФНС) по форме, в порядке и объеме, установленных законодательством РФ.

9.7. Общую организацию защиты персональных данных субъектов осуществляет руководитель организации.

9.8. При увольнении работника, имеющего доступ к персональным данным, прекращении доступа к персональным данным, документы и иные носители, содержащие персональные данные, сдаются работником своему непосредственному руководителю.

9.9. Хранение персональных данных Оператор организует на бумажных носителях и в электронном виде (посредством локальной компьютерной сети).

9.9.1. Хранение персональных данных на бумажных носителях:

- документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в помещениях Оператора: в кадровой службе, бухгалтерии и секретариате — в зависимости от целей обработки персональных данных;

- запрещается хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе, оставлять шкафы (сейфы) открытыми в случае выхода работника из рабочего помещения, в котором хранятся персональные данные;

- Оператор обеспечивает физическую безопасность помещений, в которых осуществляется хранение персональных данных на бумажных носителях (оборудование помещений замковыми устройствами; видеонаблюдение; для приема посетителей выделяются зоны ожидания, исключающие несанкционированный доступ к обрабатываемым персональным данным);

- помещения, в которых хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации;

- копирование и выписки из документов, содержащих персональные данные, допускается исключительно в служебных целях с письменного разрешения руководителя Организации.

9.9.2. Хранение персональных данных в электронном виде:

- хранение персональных данных в электронном виде осуществляется в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах сотрудников Организации, допущенных к обработке персональных данных;

- защита доступа к электронным базам данных, содержащим персональные данные, обеспечивается посредством: использованием антивирусных программ; использованием парольной защиты; разграничением права доступа с использованием учетной записи; резервного копирования информации для возможности восстановления;

- уполномоченному работнику, имеющему право осуществлять обработку персональных данных в информационных системах, инженером АСУБ предоставляется доступ к соответствующей информационной системе (диску). Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями работника;

- несанкционированный вход в персональные компьютеры, в которых содержатся персональные данные, блокируется паролем, который устанавливается инженером АСУБ и не подлежит разглашению.


10. Способы и сроки обработки и хранения персональных данных

10.1. Для достижения цели «Заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Оператором. Соблюдение действующего трудового, бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов. Ведение кадрового делопроизводства. Обеспечение социальных гарантий. Обеспечение возможности обучения и должностного роста работников» Оператор осуществляет смешанную обработку персональных данных.

10.1.1. Перечень действий, совершаемых с персональными данными для достижения указанной цели:

— сбор;

— запись;

— систематизация;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— извлечение;

— использование;

— передача (распространение, предоставление, доступ);

— блокирование;

— удаление;

— уничтожение.

10.1.2. Сроки обработки персональных данных регламентированы в соответствии с:

· целями обработки персональных данных;

· Федеральным законом от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации» и приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;

· договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.1.3. Прекращение обработки персональных данных, в том числе их хранения осуществляется при достижении целей обработки персональных данных, истечении срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных (за исключением случаев, когда Оператор вправе продолжить обработку персональных данных на ином правовом основании), выявлении неправомерной обработки персональных данных, а также в случае прекращения деятельности Организации.

При этом, сроки хранения персональных данных, содержащихся в документах по личному составу определяются Федеральным законом от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации» и достигают: 75 лет в отношении документов по личному составу, законченных делопроизводством до 1 января 2003 года и 50 лет в отношении документов по личному составу, законченных делопроизводством после 1 января 2003 года.

Сроки хранения персональных данных, содержащихся в подлинных личных документах (трудовая книжка, дипломы, аттестаты, удостоверения, свидетельства) определяются Приказом Федерального архивного агентства от 20 декабря 2019 г. N 236 и достигают: 75 лет в отношении невостребованных документов, оформленных до 1 января 2003 года и 50 лет в отношении невостребованных документов, оформленных после 1 января 2003 года.

Сроки хранения персональных данных, содержащихся в трудовых договорах, соглашениях об их изменении, расторжении, в личных карточках работников, а также в приказах, распоряжениях по личному составу и дополнениях к ним определяются Приказом Федерального архивного агентства от 20 декабря 2019 г. N 236 и достигают: 75 лет в отношении документов, законченных делопроизводством до 1 января 2003 года и 50 лет в отношении документов, законченных делопроизводством после 1 января 2003 года.

10.1.4. Хранение персональных данных.

Персональные данные субъектов персональных данных хранятся как на машинных (электронных), так и на бумажных носителях персональных данных.

Бумажные носители персональных данных хранятся только в местах, определенных в перечне мест хранения бумажных носителей персональных данных.

Документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в помещениях Оператора, электронные носители хранятся в специально выделенных помещениях, доступ к которым предоставляется работникам в соответствии с исполняемыми должностными обязанностями.

10.2. Для достижения цели «Привлечение и отбор кандидатов на замещение вакантных должностей» Оператор осуществляет смешанную обработку персональных данных.

10.2.1. Перечень действий, совершаемых с персональными данными для достижения указанной цели:

— сбор;

— запись;

— систематизация;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— извлечение;

— использование;

— передача (распространение, предоставление, доступ);

— блокирование;

— удаление;

— уничтожение.

10.2.2. Сроки обработки персональных данных регламентированы в соответствии с:

· целями обработки персональных данных.

10.2.3. Прекращение обработки персональных данных, в том числе их хранения осуществляется при достижении целей обработки персональных данных, истечении срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных (за исключением случаев, когда Оператор вправе продолжить обработку персональных данных на ином правовом основании), выявлении неправомерной обработки персональных данных, а также в случае прекращения деятельности Организации.

10.2.4. Хранение персональных данных.

Персональные данные субъектов персональных данных хранятся как на машинных (электронных), так и на бумажных носителях персональных данных.

Бумажные носители персональных данных хранятся только в местах, определенных в перечне мест хранения бумажных носителей персональных данных.

Документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в помещениях Оператора, электронные носители хранятся в специально выделенных помещениях, доступ к которым предоставляется работникам в соответствии с исполняемыми должностными обязанностями.

10.3. Для достижения цели «Заключение, исполнение и прекращение гражданско-правовых договоров, стороной которых является Оператор» Оператор осуществляет смешанную обработку персональных данных.

10.3.1. Перечень действий, совершаемых с персональными данными для достижения указанной цели:

— сбор;

— запись;

— систематизация;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— извлечение;

— использование;

— передача (распространение, предоставление, доступ);

— блокирование;

— удаление;

— уничтожение.

10.3.2. Сроки обработки персональных данных регламентированы в соответствии с:

· целями обработки персональных данных;

· приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;

· договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.3.3. Прекращение обработки персональных данных, в том числе их хранения осуществляется при достижении целей обработки персональных данных, истечении срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных (за исключением случаев, когда Оператор вправе продолжить обработку персональных данных на ином правовом основании), выявлении неправомерной обработки персональных данных, а также в случае прекращения деятельности Организации.

При этом, сроки хранения персональных данных, содержащихся в договорах гражданско-правового характера о выполнении работ, оказании услуг физическими лицами, актах сдачи-приемки выполненных работ, оказанных услуг определяются Приказом Федерального архивного агентства от 20 декабря 2019 г. N 236 и достигают: 75 лет в отношении документов, законченных делопроизводством до 1 января 2003 года и 50 лет в отношении документов, законченных делопроизводством после 1 января 2003 года.

10.3.4. Хранение персональных данных.

Персональные данные субъектов персональных данных хранятся как на машинных (электронных), так и на бумажных носителях персональных данных.

Бумажные носители персональных данных хранятся только в местах, определенных в перечне мест хранения бумажных носителей персональных данных.

Документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в помещениях Оператора, электронные носители хранятся в специально выделенных помещениях, доступ к которым предоставляется работникам в соответствии с исполняемыми должностными обязанностями.

10.4. Для достижения цели «Рассмотрение обращений граждан, направленных в письменной форме либо в форме электронного документа (обращения). Осуществление личного приема граждан» Оператор осуществляет смешанную обработку персональных данных.

10.4.1. Перечень действий, совершаемых с персональными данными для достижения указанной цели:

— сбор;

— запись;

— систематизация;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— извлечение;

— использование;

— передача (распространение, предоставление, доступ);

— блокирование;

— удаление;

— уничтожение.

10.4.2. Сроки обработки персональных данных регламентированы в соответствии с:

целями обработки персональных данных.

10.4.3. Прекращение обработки персональных данных, в том числе их хранения осуществляется при достижении целей обработки персональных данных, истечении срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных (за исключением случаев, когда Оператор вправе продолжить обработку персональных данных на ином правовом основании), выявлении неправомерной обработки персональных данных, а также в случае прекращения деятельности Организации.

10.4.4. Хранение персональных данных.

Персональные данные субъектов персональных данных хранятся как на машинных (электронных), так и на бумажных носителях персональных данных.

Бумажные носители персональных данных хранятся только в местах, определенных в перечне мест хранения бумажных носителей персональных данных.

Документы на бумажных носителях хранятся в папках в надежно запираемых сейфах/шкафах в помещениях Оператора, электронные носители хранятся в специально выделенных помещениях, доступ к которым предоставляется работникам в соответствии с исполняемыми должностными обязанностями.

10.5. Оператор не осуществляет обработку персональных данных, относящихся к специальным категориям и касающихся расовой и национальной принадлежностей, политических взглядов, религиозных или философских убеждений, интимной жизни Субъекта, членства Субъекта в общественных объединениях, за исключением случаев, прямо предусмотренных законодательством РФ.

В случаях, непосредственно связанных с вопросами трудовых отношений, Оператор вправе получать и обрабатывать персональные данные работника о его личной жизни, только с письменного согласия работника.

10.6. При принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, Оператор не вправе основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки.

10.7. Оператор не осуществляет трансграничную передачу персональных данных Субъектов.

10.8. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

10.9. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения не установлен действующим законодательством РФ, договором, стороной которого или выгодоприобретателем по которому является Субъект.


11. Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

11.1. По достижении цели обработки персональных данных в Организации обработка персональных данных прекращается и эти персональные данные уничтожаются.

Исключения:

· персональные данные должны храниться длительное время в силу требований нормативных правовых актов;

· лицо, направившее резюме для рассмотрения себя в качестве кандидатуры для замещения вакантных должностей в Организации, желает остаться в кадровом резерве Организации.

11.2. Документы, содержащие персональные данные, на бумажном носителе уничтожаются с помощью специальных технических средств.

11.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.


12. Порядок обработки запросов субъектов персональных данных

12.1. Субъект персональных данных может обращаться к Оператору по вопросам обработки своих персональных данных в следующих случаях:

• для получения информации, касающейся обработки его (субъекта) персональных данных;

• для уточнения своих персональных данных, их блокирования или уничтожения, если они являются неполными, устаревшими, неточными, незаконно полученными либо не являются необходимыми для заявленной цели обработки;

• для подачи жалобы на неправомерную обработку Оператором его (субъекта) персональных данных;

• для отзыва своего согласия на обработку персональных данных.

12.2. Согласно требованиям Федерального закона «О персональных данных» запрос информации, касающейся обработки персональных данных субъекта должен содержать, в частности:

o серию, номер документа, удостоверяющего личность субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;

o сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

o подпись субъекта персональных данных (его представителя).

12.3. Запросы субъектов персональных данных или их представителей принимаются по адресу: 350020, г. Краснодар, ул. Красная, 155/1, оф. 304−315 (или по адресу Организации, указанному в ЕГРЮЛ. При различии адресов, запросы направляются приоритетно по адресу Организации, указанному в ЕГРЮЛ).

Также запрос может быть направлен по адрес электронной почты: info@expertyug.ru

12.4. Такие сведения предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

12.5. Оператор предоставляет запрашиваемые сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

12.6. При отказе в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор дает в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

12.7. Субъект персональных данных может повторно обратиться к Оператору для получения информации, касающейся обработки его (субъекта) персональных данных не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса.

12.8. В случае, если субъекту персональных данных была предоставлена информация не в полном объеме по результатам рассмотрения первоначального обращения, субъект может повторно обратиться к Оператору раньше срока, установленного п. 12.7. настоящей Политики, указав обоснование направления повторного запроса.

12.9. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса при наличии доказательств обоснованности отказа.

12.10. В случае выявления неправомерной обработки персональных данных или неточных персональных данных Оператор блокирует такие обрабатываемые персональные данные либо обеспечивает их блокирование с момента соответствующего обращения или получения запроса на период проверки.

12.11. В случае подтверждения факта неточности персональных данных Оператор обеспечивает уточнение персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Оператора), в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

12.12. В случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обеспечивает прекращение неправомерной обработки персональных данных (в том числе при обработке персональных данных другим лицом, действующим по поручению Оператора). В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, либо уполномоченный орган по защите прав субъектов персональных данных (если запрос был направлен указанным органом).

12.13. В случае достижения цели обработки персональных данных Оператор обеспечивает прекращение обработки персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

12.14. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обеспечивает прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, обеспечивает их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

12.15. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, обеспечивает прекращение такой обработки, за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

12.16. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор обеспечивает блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.


13. Заключительные положения

13.1. Настоящая Политика является общедоступным документом Организации.

13.2. Действующая редакция Политики хранится в месте нахождения единоличного исполнительного органа Оператора, электронная версия Политики доступна для ознакомления на сайте Оператора.

13.3. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.

13.4. Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 50 лет срока хранения, если иное не определено законом.

13.5. Лица, виновные в нарушении правил обработки персональных данных и требований к защите персональных данных работника, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.

13.6. Оператор обязан ознакомить работников с настоящим Положением и их правами в области защиты персональных данных под расписку.