1.1.1. Положение о защите и обработке персональных данных в ООО «РуПост» (далее - Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Обществе с ограниченной ответственностью «РуПост» (ООО «РуПост»; ИНН: 7726472944)
Адрес местонахождения: 117105, г. Москва, вн.тер.г. муниципальный округ Нагорный, ш Варшавское, д. 26, этаж Т, помещ. 10, офис 40 (далее – Организация или Оператор).
1.1.2. Положение определяет политику Организации как оператора, осуществляющего обработку персональных данных, в отношении обработки персональных данных, включая порядок передачи персональных данных третьим лицам, особенности автоматизированной и неавтоматизированной обработки, порядок доступа к персональным данным, систему защиту персональных данных, порядок организации внутреннего контроля и ответственность за нарушения при обработке персональных данных.
1.1.3. Действие Положения распространяется на любые действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.1.4. Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 02 сентября 2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Федеральным законом от 04 мая 2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», постановлением Правительства Российской Федерации от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.1.5. Обработка персональных данных в Организации осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в области персональных данных.
1.1.6. Сведения о персональных данных относятся к числу конфиденциальных и составляют охраняемую законом тайну.
1.1.7. Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно.
1.1.8. Все изменения в Положение вносятся приказом Генерального директора Организации.
1.1.9. Все работники Организации, имеющие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с Положением под роспись для последующего его исполнения или в электронной форме.
Понятие | Определение |
|---|---|
Автоматизированная обработка персональных данных | обработка персональных данных с использованием средств вычислительной техники |
| Автоматизированная система | система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций |
| Атака | целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого |
| Безопасность | состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз |
| Безопасность объекта | состояние защищенности объекта от внешних и внутренних угроз |
| Безопасность информации | состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации |
| Блокирование персональных данных | временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) |
| Доступ к информации | возможность получения информации и ее использования |
| Жизненно важные интересы | совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства |
| Защищаемая информация | информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации |
| Идентификация | присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов |
| Информационная система | совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств |
| Информационная система персональных данных | совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
| Информация | сведения (сообщения, данные) независимо от формы их представления |
| Использование персональных данных | действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц |
| Конфиденциальность информации | обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя |
| Конфиденциальность персональных данных | обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания |
| Контролируемая зона | это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств |
| Межсетевой экран | локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы |
| Модель угроз | перечень возможных угроз информации |
| Обезличивание персональных данных | действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных |
| Обладатель информации | лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам |
| Обработка персональных данных | любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение. |
| Общедоступные персональные данные | персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности |
| Объект информатизации | совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров |
| Оператор | государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными |
| Персональные данные | любая информация, относящаяся к прямо или косвенно определенному, или определяемому лицу (субъекту персональных данных) |
| Пользователь информационной системы персональных данных | лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования |
| Правила разграничения доступа | совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа |
| Предоставление персональных данных | действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
| Распространение персональных данных | действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
| Средства вычислительной техники | совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем |
| Субъект персональных данных | физическое лицо, данные которого обрабатываются. |
| Трансграничная передача персональных данных | передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу |
| Уничтожение персональных данных | действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
| Уполномоченное оператором лицо | лицо, которому на основании договора оператор поручает обработку персональных данных |
| Целостность информации | способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения) |
1.3.1. Обработка персональных данных должна осуществляться на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.
1.3.2. Сбор, накопление, хранение, изменение, использование и распространение, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться только при условии согласия физического лица, за исключением случаев, предусмотренных действующим законодательством.
1.3.3. Обработка персональных данных обрабатывается как с помощью средств автоматизации, так и без использования таких средств.
1.3.4. Правила обработки и защиты персональных данных без использования средств автоматизации и Правила обработки персональных данных в информационной системе персональных данных установлены в соответствующих внутренних актах ООО «РуПост».
2.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей:
2.2. Оператор может обрабатывать персональные данные следующих субъектов персональных данных, в составе и для целей, указанных ниже:
Перечень персональных данных | Способы обработки | Категории субъектов ПДн | Цели обработки ПДн |
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения); число, месяц, год рождения; место рождения; информация о гражданстве (в том числе предыдущие гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи (адрес электронной почты); реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; реквизиты страхового медицинского полиса обязательного медицинского страхования; реквизиты свидетельства государственной регистрации актов гражданского состояния; семейное положение, состав семьи; сведения о трудовой деятельности; занимаемая должность; сведения о воинском учёте и реквизиты документов воинского учёта; сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании); информация о знании иностранных языков; данные об аттестации работников; данные о повышении квалификации; данные о наградах, медалях, поощрениях, почетных званиях; информация о приеме на работу, перемещении по должности, увольнении; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; сведения о доходах, об имуществе и обязательствах имущественного характера; номер расчётного счета; номер банковской карты; сведения о доходах; данные трудового договора; подлинники и копии приказов по личному составу; дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям; анкеты; результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (без диагноза и других медицинских данных); сведения об отпусках; сведения о социальных льготах и гарантиях; информация о временной нетрудоспособности, не являющаяся информацией о состоянии здоровья и не относящаяся к специальным категориям персональных данных; код карты доступа в помещения; номер карты доступа в помещения; уровень доступа в помещения; время действия карты доступа в помещения; дата выдачи карты доступа в помещения; тип карты доступа в помещения. | смешанная: автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой неавтоматизированная | работники бывшие работники близкие родственники работников (муж, жена, дети) | ведение кадрового учета в соответствии с Трудовым кодексом Российской Федерации; начисление заработной платы и премиального вознаграждения; обучение и карьерный рост учёт результатов исполнения работниками должностных обязанностей организации доступ в помещения обеспечение личной безопасности работников подготовка регламентированной отчетности в государственные контрольные органы (ФНС, ПФР, ФСС и другие). ведение бухгалтерского и налогового учета обеспечение установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества. обеспечение служебной связью организация дополнительного медицинского страхования оформление служебных командировок |
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения); число, месяц, год рождения; место рождения; информация о гражданстве (в том числе предыдущие гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи (адрес электронной почты); сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании); информация о знании иностранных языков; данные о наградах, медалях, поощрениях, почетных званиях; номер расчётного счета; номер банковской карты; сведения о доходах; время действия карты доступа в помещения; дата выдачи карты доступа в помещения; тип карты доступа в помещения. | смешанная: автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой неавтоматизированная | граждане, претендующие на замещение вакантных должностей (кандидаты на вакансии) стажеры, практиканты и лица, проходящие обучение участники олимпиад и научных мероприятий, проводимых Оператором | обеспечение кадровой работы содействие в трудоустройстве (подбор персонала) ведение кадрового резерва обучение, стажировка и прохождение практики исполнения обязательств в рамках договора прохождение курсов обучения и стажировки/практики обеспечение личной безопасности (организация пропускного режима) ведение бухгалтерского и налогового учета (выплата стипендий и прочее) |
фамилия, имя, отчество; число, месяц, год рождения; место рождения; информация о гражданстве (в том числе предыдущие гражданства, иные гражданства); вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи (адрес электронной почты); реквизиты страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; сведения о трудовой деятельности; занимаемая должность; сведения об образовании, в том числе о послевузовском профессиональном образовании; номер расчётного счета; номер банковской карты; сведения о доходах; номер карты доступа в помещения; уровень доступа в помещения; время действия карты доступа в помещения; дата выдачи карты доступа в помещения; тип карты доступа в помещения. | смешанная: автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой неавтоматизированная | сотрудники, работающие по договору гражданско-правового характера | исполнение обязательств в рамках договора системы доступа в помещения ООО «РуПост»; обеспечение личной безопасности (организация пропускного режима) подготовка регламентированной отчетности в государственные контрольные органы (ФНС, ПФР, ФСС и другие). ведение бухгалтерского и налогового учета |
фамилия, имя, отчество; число, месяц, год рождения; место рождения; информация о гражданстве; справка плательщика налога на профессиональный доход; вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи (адрес электронной почты); реквизиты идентификационного номера налогоплательщика; номер расчётного счета; номер банковской карты. | смешанная: автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой неавтоматизированная | самозанятые | исполнение обязательств в рамках договора системы доступа в помещения ООО «РуПост»; обеспечение личной безопасности (организация пропускного режима) подготовка регламентированной отчетности в государственные контрольные органы (ФНС, ПФР, ФСС и другие). ведение бухгалтерского и налогового учета |
фамилия, имя, отчество; число, месяц, год рождения; место рождения; информация о гражданстве; справка плательщика налога на профессиональный доход; документы о государственной регистрации физического лица в качестве ИП; вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи (адрес электронной почты); реквизиты идентификационного номера налогоплательщика; номер расчётного счета. | смешанная: автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой неавтоматизированная | индивидуальные предприниматели – контрагенты Оператора | исполнение обязательств в рамках договора ведение бухгалтерского и налогового учета |
фамилия, имя, отчество; число, месяц, год рождения; место рождения; информация о гражданстве; вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; адрес места жительства (адрес регистрации, фактического проживания); номер контактного телефона или сведения о других способах связи (адрес электронной почты); номер расчётного счета. | смешанная: автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой неавтоматизированная | акционеры/ учредители Оператора, лица, связанные с работниками, акционерами, учредителями (дети, в отношении которых выплачиваются алименты, жены, и т.д.) | исполнение обязательств (выплата дивидендов и иные) ведение бухгалтерского и налогового учета |
фамилия, имя, отчество; номер контактного телефона или сведения о других способах связи (адрес электронной почты); должность и место работы. | смешанная: автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой неавтоматизированная | контрагенты и подрядчики Оператора, партнеры, клиенты, работники и представители организаций, контрагентов Оператора | исполнение обязательств в рамках договора осуществление обслуживания, консультирование и коммуникации по вопросам, относящимся к деятельности Организации |
ФИО, адрес электронной почты, номер телефона; IP-адрес устройств субъекта персональных данных, информацию куки (cookies), информацию о программе, с помощью которой субъект персональных данных осуществляет доступ к Сайту, время доступа субъекта персональных данных к Сайту и историю всех действий субъекта персональных данных на Сайте. | автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой | пользователи (посетители) сайта Оператора | предоставление информации о продуктах, услугах и мероприятиях Компании рассмотрение обращений коммуникации по вопросам, относящимся к деятельности Организации |
ФИО, адрес электронной почты, номер телефона; IP-адрес устройств субъекта персональных данных, информацию куки (cookies), информацию о программе, с помощью которой субъект персональных данных осуществляет доступ к Сайту, время доступа субъекта персональных данных к Сайту и историю всех действий субъекта персональных данных на Сайте. | автоматизированная с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой | участники акций и мероприятий Организации субъекты, давшие согласие на маркетинговые рассылки и получение информации о мероприятиях Организации | информирование об уникальных предложениях и (или) специальных программах участие в опросах, исследованиях, проводимых Организацией отправка информационных материалов Организации, |
3.1.1. Обработка персональных данных Организацией осуществляется следующими способами:
3.2.1. Обработка персональных данных работников и граждан, претендующих на замещение вакантных должностей, а также стажеров, практикантов и лиц, проходящих обучение, осуществляется с согласия субъекта персональных данных в рамках целей, определенных пунктом 2.1. настоящего Положения, в соответствии с п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных», Трудовым кодексом Российской Федерации.
Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников, граждан, претендующих на замещение вакантных должностей, осуществляется путём:
3.2.2. При заключении трудового договора лицо, поступающее на работу, предъявляет Организации, если иное не установлено Трудовым кодексом Российской Федерации или другими федеральными законами, следующие документы:
Если трудовой договор с работником заключается впервые, трудовая книжка и страховое свидетельство государственного пенсионного страхования оформляются Организацией.
Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
3.2.3. Все персональные данные работника следует получать непосредственно от него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено согласие на получение его персональных данных у третьей стороны. Организация должна сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать согласие на их получение. Работник при изменении персональных данных письменно уведомляет работодателя о таких изменениях в срок, не превышающий трех рабочих дней.
3.2.4. В соответствии со статьей 86 главы 14 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:
3.2.5. В Отделе кадров Организации создаются, обрабатываются и хранятся следующие документы, содержащие персональные данные работников:
3.2.6. Персональные данные соискателей на вакантные должности попадают в Организацию через специализированные веб-сайты (электронные биржи труда) или направляются соискателями непосредственно на электронную почту Организации. В случае приглашения соискателя на собеседование, данные в резюме могут подтверждаться документально. Копии подтверждающих документов могут храниться в Организации, но не дольше чем до достижения цели их обработки, то есть до замещения вакантной должности.
3.2.7. Персональные данные работников и граждан, претендующих на замещение вакантных должностей, обрабатываются в системах 1С Предприятие, life. astralinux, nextcloud, jira, системе контроля управления доступом в Организации, а также информационных системах персональных данных (ИСПДн «РуПост»), утвержденных локальными актами Организации. Копии документов вместе с бумажным оригиналом трудового договора хранятся в Отделе кадров в офисе Организации.
3.3.1. Персональные данные стажеров, практикантов, лиц, проходящих обучение, участников олимпиад и научных мероприятий, сотрудников, работающих по договору гражданско-правового характера, самозанятых индивидуальных предпринимателей, контрагентов, учредителей Оператора, подрядчиков, партнеров, клиентов, их работников и представителей обрабатываются в ИСПДн «РуПост» согласно, утвержденному перечиню информационных систем ООО «РуПост». При оформлении договорных отношений на бумаге, оригиналы документов обрабатываются хранятся в Бухгалтерии в офисе Организации.
Персональные данные пользователей (посетителей) сайта и участников акций и мероприятий Организации, субъектов, давших согласие на маркетинговые рассылки, обрабатываются в системе - ИСПДн «РуПост», согласно перечню ИСПДн Организации.
3.3.2. Перечень действий, совершаемых Организацией с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (доступ), блокирование, уничтожение.
3.3.3. Персональные данные контрагентов поступают в Организацию при заключении договора, подтверждаются оригиналами документов и хранятся в течение исполнения договорных обязательств.
3.4.1. Обработка персональных данных осуществляется Организацией при условии получения согласия субъекта персональных данных за исключением установленных законодательством Российской Федерации случаев, когда обработка персональных данных может осуществляться без такого Согласия.
3.4.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие свободно, своей волей и в своём интересе.
3.4.3. Согласие даётся в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством Российской Федерацией случаях Согласие оформляется в письменной форме:
Формы письменных согласий утверждены в Приложении 6 к настоящему Положению.
3.4.4. С контрагентов согласия на обработку персональных данных не берутся, поскольку обработка их персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных. В соответствии с пп. 5, п. 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» согласие на обработку персональных данных в таких случаях не требуется.
3.5.1. Передача персональных данных третьим лицам, в том числе с целью поручения Оператором обработки персональных данных третьим лицам, не допускается без согласия субъектов персональных данных, за исключением случаев, установленных федеральными законами. Передача персональных данных внутри ООО «РуПост» осуществляется только между работниками, имеющими доступ к соответствующей категории субъектов персональных данных. Также персональные данные могут передаваться работниками ООО «РуПост», имеющими доступ к персональным данным, лицам, оказывающим Оператору услуги по договорам гражданско-правового характера и самозанятым.
3.5.2. Передача персональных данных третьим лицам осуществляется в порядке, установленном действующим законодательством, и настоящим Положением, образец согласия на передачу персональных данных представлен в Приложении 6 настоящего Положения.
3.5.3. Передача персональных данных субъекта в коммерческих целях без его письменного согласия исключается. Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
3.5.4. Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.
3.5.5. Персональные данные работников передаются в государственные контролирующие органы в соответствии с федеральными законами (ФНС, ФСС, ПФР и др.), а также:
3.5.6. В соглашениях между ООО «РуПост» и организациями, обеспечивающими зарплатный проект, повышение квалификации или обучение, услуги ДМС и связи предусмотрена обязанность третьего лица обеспечения конфиденциальности полученной от Организации информации, в том числе и персональных данных.
3.5.7. Передача данных по совместным проектам с ПАО Группа Астра и ООО «РусБИТех-Астра» регламентируется внутригрупповыми соглашениями и соглашениями о неразглашении конфиденциальной информации и персональных данных, а также соглашениями об обеспечении информационной безопасности.
3.6.1. Трансграничная передача персональных данных Организацией не осуществляется.
3.6.2. Все технические средства обработки персональных данных (рабочие станции и сервера) находятся в пределах Российской Федерации по адресу: Москва г, Варшавское ш, д. 26.
3.7.1. Условием прекращения обработки персональных данных может являться достижение или отсутствие необходимости в достижении целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных. Согласие может быть отозвано путём направленного в адрес Организации заявления.
3.7.2. В целях оперативной организации уничтожения персональных данных на бумажных носителях приказом Генерального директора Организации назначена комиссия по уничтожению персональных данных, а также настоящим Положением утверждены формы актов уничтожения персональных данных (Приложение 3 и Приложение 4).
3.7.3. Персональные данные, обрабатываемые в информационной системе персональных данных, удаляются путем стирания записи в базах данных администратором информационной безопасности Организации по запросу субъекта или при достижении целей обработки персональных данных.
3.7.4. Временное прекращение операций по обработке персональных данных (блокирование) должно возникать по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.
4.1. В ООО «РуПост» обеспечено раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных в рамках договора, соглашения/политики сайта, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. По истечении срока договора, по которому предоставлялся товар или оказывалась услуга, данные перемещаются в архив Оператора, где хранятся не менее пяти лет, как установлено налоговым законодательством РФ.
4.2. Сроки обработки и хранения персональных данных работников, граждан, претендующих на замещение вакантных должностей, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных работников:
- Персональные данные, содержащиеся в приказах по личному составу работников Организации (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в Отделе кадров ООО «РуПост» в течение двух лет, с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
- Персональные данные, содержащиеся в личных делах работников ООО «РуПост», а также личных карточках работников Организации, хранятся в Отделе кадров в течение десяти лет, с последующим формированием и передачей указанных документов в архив, где хранятся в течение 75 лет.
- Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи работников ООО «РуПост», подлежат хранению в течение двух лет в Отделе кадров Организации с последующим формированием и передачей указанных документов в архив, где хранятся в течение 75 лет.
- Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях работников ООО «РуПост», подлежат хранению в Отделе кадров Организации в течение пяти лет с последующим уничтожением.
- Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности, не принятых на работу в ООО «РуПост», хранятся в Отделе кадров Организации в течение 3 лет со дня подачи заявления, после чего подлежат уничтожению.
4.3. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Организацию в связи с получением услуг и исполнением функций, указанных в пункте 2.2. настоящего Положения, определяются нормативными правовыми актами (договоры, политики интернет-ресурса), регламентирующими порядок их сбора и обработки, а также локальными актами Организации по хранению персональных данных.
4.4. Персональные данные граждан, обратившихся в Организацию лично, а также направивших письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
4.5. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением Организацией программных продуктов и услуг, исполнением функций, хранятся на бумажных носителях в структурных подразделениях Организации, к полномочиям которых относится обработка персональных данных в связи с предоставлением услуги или исполнением функции.
4.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособлены от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
4.7. Срок хранения персональных данных, внесенных в информационные системы персональных данных Организации, соответствует сроку хранения бумажных оригиналов.
4.8. При осуществлении хранения персональных данных Организация использует базы данных, находящиеся на территории Российской Федерации.
5.1.1. Должностные лица Организации должны иметь доступ только к тем персональным данным, которые необходимы им для выполнения своих функциональных обязанностей.
5.1.2. В Организации разработана и утверждена разрешительная система допуска к персональным данным (Положение о разграничении прав доступа к персональным данным). Круг лиц, допущенных к обработке персональных данных, определяет руководство Организации на основании данных, представленных руководителями подразделений, в которых ведется обработка персональных данных. Данный Перечень утверждается приказом Генерального директора Организации.
5.1.3. Должностные лица Организации допускаются к обработке персональных данных после ознакомления с Положением, инструкцией пользователя информационных систем персональных данных и утвержденным в Организации перечнем ИСПДн, а также с иной организационно-распорядительной документацией Организации по защите персональных данных.
Должностные лица Организации перед началом обработки персональных данных подписывают соглашение о неразглашении персональных данных по форме Приложения 2 к данному Положению.
Доступ должностных лиц к обработке персональных данных осуществляется в соответствии с Перечнем лиц, должностей, служб и процессов, допущенных к работе с персональными данными.
В случае обнаружения нарушений правил обработки персональных данных в Организации руководство Организации и/или директор по информационной безопасности, ответственный за организацию обработки персональных данных (согласно приказу Генерального директора Организации) обязаны приостановить предоставление персональных данных пользователям до выявления и устранения причин нарушений.
5.1.4. Работники Организации имеют право на свободный бесплатный доступ к своим персональным данным, а также на получение копий любой записи о своих персональных данных, обрабатываемых в Организации.
Лица, не имеющие доступа к персональным данным в соответствии с Перечнем подразделений и сотрудников, допущенных к работе с персональными данными, могут быть допущены к ним на основании приказа, подписанного Генеральным директором Организации либо руководителем подразделения данного лица.
5.2.1. Организация, обрабатывающая персональные данные, должна обеспечивать бесплатный доступ субъекта к персональным данным, ему соответствующим, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, а также других случаев, предусмотренных федеральным законодательством.
Для получения доступа к своим персональным данным субъекту необходимо направить в Организацию запрос, в бумажной или электронной форме, подписанные собственноручно или квалифицированной электронной подписью.
Работники Организации должны предоставить персональные данные субъекту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам.
5.2.2. В случае если персональные данные субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, Организация обязана удовлетворить требование субъекта по устранению нарушений обработки персональных данных.
5.2.3. С целью организации своевременной обработки запросов и обращений субъектов персональных данных в Организации разработан и утвержден документ «Правила рассмотрения запросов субъектов персональных данных или их представителей»
6.1. Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
6.2. Оператор принимает необходимые и достаточные меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц. Работники Оператора, имеющие доступ к персональным данным, обязаны в случаях, предусмотренных законодательством и настоящим Регламентом, получать согласие субъектов персональных данных на обработку.
6.3. Обеспечение безопасности персональных данных достигается, в частности:
Доступ работников Оператора к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных актов Оператора. Допущенные к обработке персональных данных работники под роспись знакомятся с локальными нормативными актами Оператора, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников.
Факты получения доступа к информационным системам персональных данных, а также факты обработки персональных данных регистрируются, в том числе с использованием средств обеспечения информационной безопасности. Информация о фактах обработки персональных данных хранится Оператором в течение трех лет.
6.4. Мероприятия по защите персональных данных реализуются Оператором в следующих направлениях:
Мероприятия по обеспечению безопасности персональных данных включают в себя:
С целью поддержания состояния защиты персональных данных на надлежащем уровне Оператором осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям.
6.5. Внутренний контроль включает:
7.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Организацией, или их обработка должна быть прекращена соответственно.
7.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами Российской Федерации.
7.3. По письменному запросу субъекта персональных данных или его представителя Организация обязана сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.4. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
7.5. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.6. При достижении или отсутствии необходимости в достижении целей обработки персональных данных, персональные данные подлежат уничтожению.
7.7. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается комиссией, состав которой утверждается приказом Организации.
По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается.
7.8. Уничтожение материальных носителей, содержащих персональные данные производится без возможности восстановления данных, такими способами как: измельчение, размагничивание, многократное затирание (не менее 5 проходов) с составлением Акта об уничтожении.
7.9. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путём механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8.1. Граждане, персональные данные которых обрабатываются в Организации в связи с предоставлением услуг и осуществлением функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
8.2. Лица, указанные в пункте 8.1. настоящего Положения (далее - субъекты персональных данных), вправе требовать от Организации уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Сведения, указанные в п. 8.1 настоящего Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.4. Сведения, указанные в п. 8.1 настоящего Положения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения Организации, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
8.5. В случае, если сведения, указанные в п. 8.1. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Организацию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.6. Субъект персональных данных вправе обратиться повторно в Организацию или направить повторный запрос в целях получения сведений, указанных в п. 8.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 8.5. настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 8.4. настоящего Положения, должен содержать обоснование направления повторного запроса.
8.7. Организация (уполномоченное должностное лицо Организации) вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 8.5. и 8.6. настоящего Положения. Такой отказ должен быть мотивированным.
8.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
10.1.1. Работники, допущенные к обработке персональных данных, обязаны ознакомиться с документами Организации, которые устанавливают порядок обработки персональных данных в Организации, и подписать лист ознакомления с ними, а также подписать соглашение о неразглашении персональных данных, полученных в ходе исполнения своих должностных обязанностей.
10.2.1. В целях защиты персональных данных, хранящихся в Организации, работник имеет право:
10.2.2. В целях защиты персональных данных, хранящихся в Организации, работник, осуществляющий обработку персональных данных, имеет право:
10.3.1. В части своих персональных данных:
10.3.2. В части обработки персональных данных субъекта:
11.1.1. Субъект персональных данных имеет право на получение сведений об Организации, о месте ее нахождения, о наличии у Организации персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
11.2.1. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Организацией при обращении либо при получении запроса субъекта персональных данных или его законного представителя.
11.2.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
11.2.3. Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
11.2.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
11.3.1. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
12.1.1. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этой информации.
12.1.2. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных, действующего на основании законодательства о персональных данных.
12.2.1. Должностные лица Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность, предусмотренную федеральным законодательством.
12.2.2. Руководитель подразделения, разрешивший доступ должностному лицу к персональным данным несет персональную ответственность за данное решение.
12.2.3. Должностные лица Организации, получающие доступ к персональным данным, несут персональную ответственность за обеспечение конфиденциальности, предоставленной им информации. Кроме того, должностные лица Организации, получающие для работы документы, содержащие персональные данные, несут персональную ответственность за их сохранность.
12.2.4. В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой какие-либо финансовые потери для Организации, виновные должностные лица обязаны возместить причиненный ущерб.