1. Общие положения
1.1. Настоящее Положение принято в ООО "Энергия нефтегазового сервиса" (далее – Организация, ООО «ЭНГС») для обеспечения сохранности и конфиденциальности персональных данных работников Организации в соответствии с требованиями действующего законодательства Российской Федерации, а также в целях регламентации порядка работы с персональными данными работников Организации.
1.2. Настоящее Положение разработано в соответствии с Уставом Организации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", законодательными актами Российской Федерации.
1.3. Настоящее Положение обязательно для соблюдения всеми работниками Организации.
1.4. Настоящее Положение вступает в действие с момента утверждения его приказом Генерального директора Организации и действует до утверждения нового положения.
1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом Генерального директора Организации.
1.6. Основные понятия, используемые в настоящем Положении:
1.6.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.6.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.6.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования.
1.6.4. Субъекты персональных данных: работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; клиенты и контрагенты оператора (физические лица); представители/работники клиентов и контрагентов оператора (юридических лиц).
1.6.5. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
2. Критерии отнесения информации к персональным данным
2.1. К персональным данным относятся любая информация о работнике, в том числе фамилия, имя, отчество, дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов.
2.2. Достоверность персональных данных определяется исходя из их изначального размещения в таких документах, как:
- паспорт или иной источник, удостоверяющий личность;
- трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев, когда Организация является для работника первым работодателем);
- свидетельство пенсионного страхования;
- военный билет и иные документы воинского учета;
- диплом об образовании;
- свидетельство о наличии ИНН.
Отдельным приказом Генеральным директора Организации могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.
2.3. Управление по работе с персоналом обеспечивает проверку вышеперечисленных документов, содержащих персональные данные, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.
3. Операции с персональными данными
3.1. Настоящее Положение устанавливает, что ООО «ЭНГС" осуществляет следующие операции с персональными данными работников:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (предоставление, доступ);
- блокирование;
- удаление;
- уничтожение;
- распространение;
3.2. Под получением (сбором) персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах.
3.3. Сбор персональных данных осуществляется в пределах установленного объема, необходимого для каждой категории субъектов, с которыми взаимодействует Организация, и не может превышать указанный объем.
3.4. На работников Организации собираются следующие персональные данные:
· фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
· пол;
· дата (число, месяц, год) и место рождения;
· фотографическое изображение;
· сведения о гражданстве;
· вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
· страховой номер индивидуального лицевого счета (СНИЛС);
· идентификационный номер налогоплательщика (ИНН);
· адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
· номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
· реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
· сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
· сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
· информация о владении иностранными языками;
· сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
· сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
· сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ (для иностранных граждан, пребывающих в РФ);
· сведения, содержащиеся в разрешении на временное проживание, разрешении на временное проживание в целях получения образования (для иностранных граждан, временно проживающих в РФ), виде на жительство (для иностранных граждан, постоянно проживающих в РФ);
· сведения о доходах, обязательствах по исполнительным документам;
· номера расчетного счета, банковской карты;
· сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
· иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1. Положения;
3.5. На кандидатов на замещение вакантных должностей собираются следующие персональные данные:
· фамилия, имя, отчество (при наличии)
· пол;
· дата и место рождения;
· вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
· сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
· сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
· сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (для отдельных категорий работников);
3.6. На клиентов и контрагентов оператора собираются следующие персональные данные:
· фамилия, имя, отчество;
· пол;
· дата рождения;
· контактный номер телефона;
· e-mail.
3.7. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом Организации.
3.8. Согласно Положению, персональные данные обрабатываются с целью применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:
• при содействии в трудоустройстве;
• ведении кадрового и бухгалтерского учета;
• содействии работникам в получении образования и продвижении по службе;
• оформлении награждений и поощрений;
• предоставлении со стороны Организации установленных законодательством условий труда, гарантий и компенсаций;
• заполнении и передаче в уполномоченные органы требуемых форм отчетности;
• обеспечении личной безопасности работников и сохранности имущества;
• осуществлении контроля за количеством и качеством выполняемой работы.
3.9. Под передачей персональных данных понимается операция:
- по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют работники Организации либо третьи лица;
- по размещению персональных данных в источниках внутрикорпоративного документооборота;
- по опубликованию в интересах Организации персональных данных о работнике в СМИ или на серверах Интернета в соответствии с нормами законодательства Российской Федерации.
3.10. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах Организации, в случаях, предусмотренных положениями локальных правовых актов Организации и законодательства Российской Федерации.
3.11. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах Организации.
3.12. Под уничтожением персональных данных понимается операция по изъятию соответствующих данных из информационных систем Организации, а также обеспечению невозможности их восстановления.
4. Порядок и условия обработки персональных данных
4.1. До начала обработки персональных данных Организации обязано уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.
4.2. Правовым основанием обработки персональных данных являются Трудовой кодекс РФ, иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете".
4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
4.4. Обработка персональных данных в Организации выполняется следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
4.5. Обработка персональных данных в Организации осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.5.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.
Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.
4.6. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
4.6.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Организации осуществляются посредством:
• получения оригиналов документов либо их копий;
• копирования оригиналов документов;
• внесения сведений в учетные формы на бумажных и электронных носителях;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях;
• внесения персональных данных в информационные системы персональных данных.
4.7.2. В Организации используются следующие информационные системы:
• корпоративная электронная почта;
• система электронного документооборота;
• система поддержки рабочего места пользователя;
• система нормативно-справочной информации;
• система контроля за удаленным доступом;
• корпоративный портал.
4.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
5. Организация доступа к персональным данным
5.1. Доступ к персональным данным работников Организации, не требующий подтверждения и не подлежащий ограничению, предоставляется следующим должностным лицам Организации:
- Генеральному директору, а также работникам его секретариата;
- работникам Управления по работе с персоналом;
- работникам Отдела Бухгалтерии;
- работникам Юридической службы;
- работникам Департамента безопасности;
- работникам, предоставившим Организации свои персональные данные;
- непосредственным руководителям работников, предоставивших свои персональные данные.
Доступ предоставляется конкретным физическим лицам, назначенным на должность в Организации и ознакомленным с правилами получения, обработки, хранения, передачи и любого иного использования персональных данных Организации, согласно Перечню и в установленные сроки, утвержденные Генеральным директором Организации.
5.2. Доступ к персональным данным работников Организации для иных лиц может быть разрешен отдельным распоряжением Генерального директора, за исключением, если иное не предусмотрено требованиями действующего законодательства Российской Федерации.
6. Обязанности работников, имеющих доступ к персональным данным
6.1. Работники Организации и другие лица, имеющие доступ к персональным данным, обязаны:
- осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, а также действующим законодательством Российской Федерации;
- информировать своего непосредственного руководителя и Генерального директора Организации о нештатных ситуациях, связанных с операциями с персональными данными;
- обеспечивать конфиденциальность операций с персональными данными;
- обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.
6.2. В случае если у Работника Организации изменились персональные данные, Работник Организации обязан сообщить о таких изменениях Работодателю в десятидневный срок.
7. Права работников в части осуществления операций с персональными данными
7.1. Работник Организации, передавший Организации свои персональные данные, имеет право:
- на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;
- на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;
- требовать от Организации дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам работника, осуществляются незаконно, а также в случае, если персональные данные недостоверны;
- получать от Организации информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;
- получать от Организации информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе Организации.
7.2. Работники Организации, имеющие доступ к персональным данным работников Организации, имеют право:
- на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;
- получение консультационной поддержки со стороны руководства и других компетентных работников в части осуществления операций с персональными данными;
- отдачу распоряжений и направление предписаний работникам, передающим персональными данные Организации, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.
8. Ответственность работников за нарушения правил осуществления операций с персональными данными
8.1. Работники Организации при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением, а также нормами федерального, регионального и муниципального законодательства Российской Федерации.
8.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм Организации, а также положений законодательства Российской Федерации.
