Положение об обработке персональных данных в обществе с ограниченной ответственностью «Эдвансд Трейдинг»
1. Настоящее Положение об обработке персональных данных устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее – Положение).
Обработка персональных данных в обществе с ограниченной ответственностью «Эдвансд Трейдинг» выполняется в соответствии локально-нормативным актом компании «Политика защиты и обработки персональных данных».
2. Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон), гл. 14 Трудового кодекса Российской Федерации от 13.12.2001 № 197-ФЗ.
3. Субъектами персональных данных являются сотрудники, кандидаты на работу, представители контрагентов, и иные лица, чьи персональные данные обрабатываются ООО «Эдвансд Трейдинг».
4. Целями Положения являются:
а) обеспечение защиты прав и свобод при обработке персональных данных сотрудников общества с ограниченной ответственностью «Эдвансд Трейдинг» и персональных данных граждан;
б) установление ответственности сотрудников общества с ограниченной ответственностью «Эдвансд Трейдинг» за невыполнение нормативных правовых актов, регулирующих обработку и защиту персональных данных.
5. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
а) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым компанией в соответствии с ним нормативным правовым актом «Политика защиты и обработки персональных данных», требованиям к защите персональных данных;
б) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых обществом с ограниченной ответственностью «Эдвансд Трейдинг» мер, направленных на обеспечение выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом;
в) ознакомление сотрудников общества с ограниченной ответственностью «Эдвансд Трейдинг» непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями по защите персональных данных, предусмотренными принятым компанией нормативным правовым актом «Политика защиты и обработки персональных данных».
6. В соответствии с п. 3 ст. 21 Федерального закона № 152 «О персональных данных» в случае выявления неправомерной обработки персональных данных, осуществляемой оператором персональных данных, оператор персональных данных в срок, не превышающий 3 рабочих дня с даты выявления неправомерной обработки персональных данных, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор персональных данных в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении неправомерной обработки
персональных данных или об уничтожении персональных данных оператор персональных данных обязан уведомить субъекта персональных данных или его представителя.
7. В соответствии с п. 4 ст. 21 Федерального закона № 152 «О персональных данных» в случае достижения цели обработки персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных.
8. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты получения указанного отзыва. Об уничтожении персональных данных оператор персональных данных в течении трех рабочих дней обязан уведомить субъекта персональных данных.
9. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пунктах 7 – 9 Правил, оператор персональных данных осуществляет блокирование таких персональных данных, обеспечивает уничтожение персональных данных в срок до 6 месяцев, если иной срок не установлен действующим законодательством Российской Федерации.
10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели хранения персональных данных, если срок хранения персональных данных не установлен Федеральным законом. Сроки хранения:
Согласие физического лица на обработку персональных данных — 3 года по истечении срока его действия или отзыва, если другое не установлено договором или федеральным законом.
Служебная документация (приказы об отпусках, дежурствах, командировках) — 5 лет для сотрудников, не связанных с вредными (опасными) условиями труда, 50/75 лет — для сотрудников с вредными (опасными) условиями труда.
Документы об оплате труда работников организации и исчислении трудового стажа (протоколы, акты, справки, сведения) — 50 лет для уволенных после 01.01.2003, 75 лет — для уволенных до 01.01.2003.
Трудовые книжки и трудовые договоры, если они не востребованы работником — 50/75 лет.
Сведения индивидуального (персонифицированного) учёта, предоставленные в ПФР/СФР — 5 лет в письменном виде, 75 лет — в электронном виде. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
11. Обработка персональных данных в информационных системах общества с ограниченной ответственностью «Эдвансд Трейдинг» (далее – информационные системы персональных данных) осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11. 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и нормативным актом компании «Положение об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации».
12. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается путем:
а) определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
б) применения организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных;
в) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
г) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
д) учета машинных носителей персональных данных;
е) обнаружения фактов несанкционированного доступа к персональным данным и принятием мер по прекращению несанкционированного доступа;
ж) восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
з) установления правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.
13. Сотрудники общества с ограниченной ответственностью «Эдвансд Трейдинг» имеющие доступ к информационным системам персональных данных, обязаны:
а) принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;
б) вести учет электронных носителей информации, содержащих персональные данные, и осуществлять их хранение в металлических шкафах или сейфах;
в) производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с персональными данными;
г) соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей к информационным системам персональных данных;
д) принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам персональных данных;
е) работать с информационными системами персональных данных в объеме своих полномочий, не допускать их превышения;
ж) обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.
14. При работе сотрудников общества с ограниченной ответственностью «Эдвансд Трейдинг» в информационных системах персональных данных запрещается:
а) записывать значения кодов и паролей доступа к информационным системам персональных данных;
б) передавать коды и пароли доступа к информационным системам персональных данных другим лицам;
в) пользоваться в работе кодами и паролями других пользователей доступа к информационным системам персональных данных;
г) производить подбор кодов и паролей доступа к информационным системам персональных данных других пользователей;
д) записывать на электронные носители с персональными данными посторонние программы и данные;
е) копировать информацию с персональными данными на неучтенные электронные носители информации;
ж) выносить электронные носители с персональными данными за пределы территории общества с ограниченной ответственностью «Эдвансд Трейдинг»;
з) покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств блокирования, доступа к персональному компьютеру;
и) приносить, самостоятельно устанавливать и эксплуатировать на персональном компьютере любые программные продукты, не принятые к эксплуатации;
к) открывать, разбирать, ремонтировать персональные компьютеры, вносить изменения в
конструкцию, подключать нештатные блоки и устройства;
л) передавать информацию, содержащую персональные данные, подлежащие защите, по открытым каналам связи (факсимильная связь, электронная почта и иное), за исключением, использования шифрованных каналов связи; использовать сведения, содержащие персональные данные, подлежащие защите, в открытой переписке и при ведении переговоров по телефону.
15. Сбор, систематизацию, накопление, хранение, обновление, изменение, передачу, уничтожение (далее – обработка) документов работников общества с ограниченной ответственностью «Эдвансд Трейдинг» содержащих персональные данные на бумажном носителе, осуществляет сотрудник отдела кадрового администрирования и общих вопросов общества с ограниченной ответственностью «Эдвансд Трейдинг» в соответствии с гл.14 Трудового Кодекса Российской Федерации.
16. Все персональные данные должны быть получены непосредственно от сотрудников общества с ограниченной ответственностью «Эдвансд Трейдинг», кандидатов на работу, представителей контрагентов, и иных лиц, чьи персональные данные обрабатываются ООО «Эдвансд Трейдинг».
17. Документы, содержащие персональные данные, уничтожаются способом, исключающим восстановление, с составлением акта.
18. При смене сотрудника, ответственного за учет документов на бумажном носителе, содержащих персональные данные, составляется акт приема-сдачи этих материалов, который утверждается генеральным директором общества с ограниченной ответственностью «Эдвансд Трейдинг».
19. При работе с документами на бумажном носителе, содержащими персональные данные, уполномоченный на обработку персональных данных сотрудник общества с ограниченной ответственностью «Эдвансд Трейдинг» обязан:
а) ознакомиться только с теми документами, содержащими персональные данные, к которым получен доступ в соответствии со служебной необходимостью;
б) хранить в тайне ставшие известными им сведения, содержащие персональные данные, подлежащие защите, информировать непосредственного руководителя о фактах нарушения порядка работы с персональными данными и о попытках несанкционированного доступа к ним;
в) о допущенных нарушениях установленного порядка работы, учета и хранения документов, содержащих персональные данные, а также о фактах разглашения сведений, содержащих персональные данные, подлежащих защите, представлять непосредственным руководителям письменные объяснения.
20. Сотрудники, виновные в разглашении или утрате информации, содержащей персональные данные, несут ответственность в соответствии с законодательством Российской Федерации.
21. Контроль за исполнением сотрудниками общества с ограниченной ответственностью «Эдвансд Трейдинг» требований настоящих Правил возлагается на назначенного приказом общества с ограниченной ответственностью «Эдвансд Трейдинг» ответственного лица за организацию обработки персональных данных.
