Положение об обработке и защите персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение, разработанное в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, федеральными законами «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «О персональных данных», «Об информации, информационных технологиях и о защите информации», иными нормативными правовыми актами Российской Федерации и нормативными документами ООО «Холдинг Сибуглемет» и Обществ, полномочия единоличного исполнительного органа которых переданы управляющей организации – ООО «Холдинг Сибуглемет» (далее - Общества), определяет цели, принципы, условия и правила обработки персональных данных, меры по обеспечению режима их защиты, права и обязанности субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих обработку персональных данных.

1.2. Настоящее «Положение об обработке и защите персональных данных» (далее – Положение) устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным.

1.3. Цель настоящего Положения - защита обрабатываемых персональных данных от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.4. Действие настоящего Положения не распространяется на отношения, возникающие при:

- хранении, комплектовании, учете и использовании сведений, содержащих персональные данные, архивных документов (документов, законченных делопроизводством и переданных на хранение в соответствующий архив) в соответствии с законодательством об архивном деле в Российской Федерации;

- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.5. По требованию любого физического лица, чьи персональные данные обрабатываются Обществом (или его представителя, если применимо), копия Положения должна быть предоставлена Обществом в бумажной или электронной форме в кратчайший разумный срок.

1.6 Хранение персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации и в любом случае не дольше, чем этого требуют цели обработки персональных данных, если только иной срок не установлен законодательством Российской Федерации, либо по согласованию с субъектом персональных данных.

1.5. Руководители структурных подразделений, директора Обществ несут персональную ответственность за обработку и обеспечение режима защиты персональных данных, выполнение работниками требований законодательства Российской Федерации и нормативных документов Общества в области обработки и защиты персональных данных.

1.6. Настоящее Положение и изменения к нему утверждаются генеральным директором ООО «Холдинг Сибуглемет» и вводятся в действие приказом. Все работники Обществ должны быть ознакомлены под роспись с данным Положением и изменениями к нему.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. В настоящем Положении используются следующие понятия:

2.1.1.   Общество – ООО «Холдинг Сибуглемет» и общества, полномочия единоличного исполнительного органа которых переданы управляющей организации - ООО «Холдинг Сибуглемет»;

2.1.2.   работник — физическое лицо, вступившее в трудовые отношения с Обществом, а также заключившие гражданско-правовой договор возмездного оказания услуг;

2.1.3.персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.4.   субъекты персональных данных — физические лица, которые прямо либо косвенно могут быть определены с помощью персональных данных;

2.1.5.   уполномоченные работники — работники Общества, имеющие допуск к персональным данным субъектов персональных данных;

2.1.6. персональные данные ограниченного доступа — персональные данные субъектов персональных данных, подлежащие защите в установленном законодательством Российской Федерации порядке;

2.1.7. специальные категории персональных данных — персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

2.1.8. биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются для установления личности субъекта персональных данных;

2.1.9. информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

2.1.10. обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.11. автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2.1.12. неавтоматизированная обработка персональных данных — обработка персональных данных, осуществляемая при непосредственном участии человека без использования средств вычислительной техники;

2.1.13. передача персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных;

2.1.14. распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.1.15. блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.16. уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители;

2.1.17. трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу;

2.1.18. конфиденциальность персональных данных — обязательное для соблюдения Обществом требование не раскрывать третьим лицам персональные данные и не допускать их распространение без согласия субъектов персональных данных или наличия иного законного основания;

2.1.19. безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

2.1.20. защита персональных данных — деятельность Общества, включающая принятие правовых, организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

2.1.21. режим защиты персональных данных — нормативно установленные правила, определяющие ограничения доступа к персональным данным, порядок передачи и условия их хранения.

3.   СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. В порядке, описанном в Положении, Общество собирает и иным образом обрабатывает персональные данные следующих категорий физических лиц (субъектов персональных данных):

3.1.1. физические лица, с которыми Обществом заключен трудовой договор и сохраняются трудовые отношения (далее – "Работники");

3.1.2. физические лица, с которыми Общество прекратило трудовые отношения по любому основанию (далее – "Бывшие работники");

3.1.3. близкие родственники и супруги Работников, получатели алиментов от Работников и назначенные выгодоприобретатели по договорам страхования (далее совместно – "Родственники Работников");

3.1.4. близкие родственники и супруги Бывших Работников, получатели алиментов от Бывших Работников (далее совместно – "Родственники Бывших Работников");

3.1.5. соискатели (кандидаты) на должность в Обществе, которые представляют в Общество свои персональные данные с намерением замещения должности и заключения трудового договора или иного договора (далее – "Соискатели");

3.1.6. близкие родственники, супруги, а также рекомендатели Соискателей (далее – "Родственники Соискателей");

3.1.7. физические лица-представители контрагентов (клиентов, партнеров, подрядчиков, поставщиков), с которыми у Общества могут существовать договорные и иные правовые отношения, в том числе работники, собственники (учредители, участники), бенефициары (бенефициарные владельцы), представители, действующие на основании доверенности, и иные лица, с которыми Общество контактирует в интересах таких контрагентов (далее – "Представители контрагентов"), и такие Представители контрагентов могут быть представителями будущих, действующих или потенциальных контрагентов Общества;

3.1.8. физические лица (в том числе индивидуальные предприниматели), с которыми у Общества могут существовать договорные и иные правовые отношения (далее – "Подрядчики"), и такие Подрядчики могут быть будущими, действующими или потенциальными контрагентами Общества;

3.1.9. физические лица – клиенты, которым Общество оказывает услуги ("Клиенты"), и такие Клиенты могут быть будущими, действующими или потенциальными клиентами Общества;

3.1.10. физические лица, участвующие в мероприятиях, имеющих деловой, информационный характер, которые организовываются Обществом или при участии Общества (далее - "Участники мероприятий");

3.1.11. физические лица, посещающие помещения Общества и не имеющие права постоянного входа в эти помещения (далее – "Посетители офиса");

3.1.12. физические лица, посещающие и/или использующие сайт Общества для информационных или иных целей, в частности, для связи с Обществом (далее – "Посетители сайта");

3.1.13. участники административных или гражданских судебных процессов, исполнительных производств или любых предусмотренных применимым законодательством регуляторных и административных процедур с участием Общества или Работников (далее – "Участники процессов"); и

3.1.14. представители субъектов персональных данных, не являющиеся Работниками Общества и обращающиеся в Общество по поручению и от имени таких субъектов персональных данных (далее – "Представители субъектов персональных данных").

4. ПРИНЦИПЫ, УСЛОВИЯ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Принципы обработки персональных данных:

4.1.1. обработка персональных данных должна осуществляться в соответствии с действующим законодательством РФ;

4.1.2. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;

4.1.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

4.1.4. обработке подлежат только те персональные данные, которые отвечают целям их обработки;

4.1.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

4.1.6. при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;

4.1.7. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

4.2. Условия обработки персональных данных:

4.2.1. обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено федеральными законами. Получение согласия осуществляется в соответствии с Порядком обработки и обеспечения режима защиты персональных данных работников Общества (далее — Порядок обработки персональных данных);

4.2.2. обработка персональных данных необходима для:

- выполнения возложенных на работодателя законодательством Российской Федерации и уставом Общества функций, полномочий и обязанностей;

- осуществления правосудия, исполнения судебных актов, актов других органов и должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- исполнения договора в рамках трудовых и (или) гражданско-правовых отношений, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;

- осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

4.2.3. обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральными законами.

4.3. Персональные данные обрабатываются следующими способами:

4.3.1. неавтоматизированная обработка;

4.3.2. автоматизированная обработка.

4.4. Обработка персональных данных осуществляется путем:

4.4.1. получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;

4.4.2. получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;

4.4.3. формирования персональных данных в ходе кадровой работы;

4.4.4. получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

4.4.5. получения персональных данных в ответ на запросы, направляемые в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;

4.4.6. получения персональных данных из общедоступных источников;

4.4.7. фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

4.4.8. внесения персональных данных в информационные системы;

4.4.9. использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.

4.5. Работодатель, при условии получения согласования субъекта персональных данных, вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области обработки и защиты персональных данных и настоящим Положением.

4.6. Передача персональных данных третьим лицам, в том числе трансграничная передача, допускается только с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных федеральными законами.

Персональные данные передаются третьим лицам в соответствии с Порядком обработки персональных данных.

4.7. Персональные данные уничтожаются либо обезличиваются в случае получения оформленного в установленном порядке запроса субъекта персональных данных, по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.8. Персональные данные подлежат уничтожению в установленном порядке в случае установления подтвержденных фактов, что указанные персональные данные являются недействительными.

4.9. Сроки обработки, хранения и порядок уничтожения персональных данных на материальных носителях, а также в информационных системах определяются Порядком обработки персональных данных.

5.   МЕРЫ ПО ОБЕСПЕЧЕНИЮ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Общество обеспечивает режим защиты персональных данных при их обработке в соответствии с законодательством Российской Федерации и нормативными документами на основании принимаемых ими правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

5.2. Режим защиты персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.

5.3. Защита персональных данных предусматривает ограничение доступа к ним.

Доступ к персональным данным субъектов персональных данных разрешается в соответствии с Порядком обработки персональных данных только уполномоченным работникам, которым эти персональные данные необходимы для выполнения должностных обязанностей.

5.4. Обеспечение безопасности персональных данных достигается путем:

5.4.1. определения и моделирования угроз безопасности персональных данных при их обработке;

5.4.2. применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, а также соблюдением требований действующего законодательства в области обеспечения защиты персональных данных;

5.4.3. проведения проверки соответствия законодательству Российской Федерации в области обработки и защиты персональных данных применяемых мер защиты информации и оценки их эффективности;

5.4.4. учета машинных носителей персональных данных в установленном порядке;

5.4.5. обнаружения фактов несанкционированного доступа к персональным данным и принятия соответствующих мер;

5.4.6. Резервного хранения, восстановления персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;

5.4.7. установления правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Общества, в установленном порядке;

5.4.8. внутреннего контроля за соблюдением при обработке персональных данных законодательства Российской Федерации и нормативных документов Общества.

5.5. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными ФСТЭК России, а также в соответствии с нормативными документами Общества в области обеспечения информационной безопасности.

5.6. При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе Общества.

5.7. При неавтоматизированной обработке персональных данных технические и организационные меры определяются в соответствии с Постановлением Правительства РФ 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъекты персональных данных имеют право на:

6.1.1. полную информацию о своих персональных данных, обрабатываемых Обществом;

6.1.2. получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;

6.1.3. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

6.1.4. дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;

6.1.5. извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;

6.1.6. отзыв согласия на обработку своих персональных данных;

6.1.7. обжалование в соответствии с законодательством Российской Федерации действий Общества при обработке персональных данных или его бездействия;

6.1.8. осуществление иных прав, предусмотренных законодательством Российской Федерации.

6.2. Субъекты персональных данных обязаны:

6.2.1. предоставить Обществу свои персональные данные в соответствии с законодательством Российской Федерации и настоящим Положением;

6.2.2. своевременно информировать Общество об изменениях своих персональных данных;

6.2.3. обеспечить конфиденциальность персональных данных других субъектов персональных данных в соответствии с требованиями законодательства Российской Федерации и других нормативных документов Общества.

7. ОБЯЗАННОСТИ ОБЩЕСТВА

7.1. Общество обязано принимать следующие необходимые и достаточные меры для выполнения обязанностей, предусмотренных законодательством Российской Федерации:

7.1.1. назначать ответственного за организацию обработки персональных данных;

7.1.2. издавать документы, определяющие политику Общества в отношении обработки персональных данных, нормативные документы по вопросам обработки персональных данных, а также нормативные документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранение последствий таких нарушений;

7.1.3. применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

7.1.4. разъяснять субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;

7.1.5. блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством Российской Федерации;

7.1.6. уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;

7.1.7. представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными документами Общества;

7.1.8. осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;

7.1.9. проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области обработки и защиты персональных данных.

8.   ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Лица, виновные в нарушении законодательства Российской Федерации и нормативных документов Общества в области обработки и защиты персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность.

8.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством Российской Федерации и нормативными документами Общества в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.