Политика

Общества с ограниченной ответственностью

«Специализированное предприятие «Автобаза. Ритуальные услуги»

(ООО «СПАРУ»)

в отношении обработки персональных данных

1. Общие положения

Настоящая Политика определяет политику Общества с ограниченной ответственностью «Специализированное предприятие «Автобаза. Ритуальные услуги» (далее – ООО «СПАРУ»/Компания) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.1. Политика Компании в отношении обработки персональных данных (далее - Политика) разработана в соответствии с локальными нормативными актами Компании и требованиями следующих законодательных и нормативных актов:
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»,
- постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
- Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан в Российской Федерации»,
- постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,
-постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах Компании.
1.3. Политика действует в отношении информации, которую Компания получает о субъекте персональных данных в процессе предоставления услуг или исполнения договорных обязательств.
1.4. Настоящая Политика раскрывает состав субъектов персональных данных, принципы, порядок и условия обработки персональных данных работников Компании и иных лиц, чьи персональные данные обрабатываются ООО «СПАРУ», с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.5. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Компании по защите конфиденциальной информации.

2. Категории субъектов персональных данных

2.1. Перечень персональных данных, подлежащих защите в ООО «СПАРУ», формируется в соответствии с федеральным законодательством о персональных данных   и локальными нормативными актами Компании.
2.2. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. В зависимости от субъекта персональных данных, Компания обрабатывает персональные данные следующих категорий субъектов персональных данных:
- персональные данные работников ООО «СПАРУ» - информация, необходимая Компании в связи с трудовыми отношениями;
- персональные данные работников контрагента ООО «СПАРУ», необходимые Компании для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации;
- граждан, обращающихся в ООО «СПАРУ» в соответствии с законодательством Российской Федерации и Санкт-Петербурга.

3. Цели обработки персональных данных

3.1. ООО «СПАРУ» осуществляет обработку персональных данных в следующих целях:
- осуществления деятельности, предусмотренной деятельностью Компании, действующим законодательством Санкт-Петербурга и Российской Федерации;
- заключения, исполнения и прекращения гражданско-правовых договоров с физическими и юридическими лицами в случаях, предусмотренных действующим законодательством локальными нормативными актами Компании;
- организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативных правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, очередности предоставления ежегодного отпуска, установления размера зарплаты и пр., содействия работникам в трудоустройстве, обучении, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»;
- содействие работнику в трудоустройстве, получении образования и продвижении по службе;
- обеспечение личной безопасности работника;
- контроль количества и качества выполняемой работы;
- обеспечение сохранности имущества ООО «СПАРУ»;
- реализацией законодательства Российской Федерации и Санкт-Петербурга о порядке рассмотрения обращений граждан.

4. Сроки обработки персональных данных

4.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», а также иными требованиями законодательства Российской Федерации и нормативными документами.
4.2. В Компании создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Компании данных типовых форм документов установлены постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5. Права

5.1. ООО «СПАРУ» как оператор персональных данных, вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия.
5.2. Субъект персональных данных имеет право:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых в Компании и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Принципы и условия обработки персональных данных

6.1. Обработка персональных данных в ООО «СПАРУ» осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
6.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

7. Обеспечение безопасности персональных данных    

7.1. ООО «СПАРУ» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
7.2. В целях координации действий по обеспечению безопасности персональных данных в Компании назначены ответственные лица за организацию обработки персональных данных.

8. Заключительные положения

8.1. Настоящая Политика является внутренним документом ООО «СПАРУ», общедоступной и подлежит размещению на официальном сайте Компании.
8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится в информационно-телекоммуникационной сети «Интернет» на официальном сайте Компании.

8.3. Ответственность работников Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ООО «СПАРУ».

Правила

обработки персональных данных

Общества с ограниченной ответственностью

«Специализированное предприятие «Автобаза. Ритуальные услуги»

(ООО «СПАРУ»)

1. Общие положения

1.1. Правила обработки персональных данных (далее - Правила) Общества с ограниченной ответственностью «Специализированное предприятие «Автобаза. Ритуальные услуги» (далее – ООО «СПАРУ»/Компания) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения.
1.2. Обработка персональных данных в Компании выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Компании.
1.3. Правила определяют политику ООО «СПАРУ» как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.4. Правила разработаны в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 25.12.2008 № 273-ФЗ «О противодействии коррупции», Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.5. Субъектами персональных данных являются работники ООО «СПАРУ», граждане и организации, обратившиеся в ООО «СПАРУ» в связи с предоставлением услуг, сотрудники контрагента ООО «СПАРУ».
1.6. Обработка персональных данных в Компании осуществляется с соблюдением принципов и условий, предусмотренных Правилами и законодательством Российской Федерации в области персональных данных.

2. Условия и порядок обработки персональных данных в связи с реализацией трудовых отношений

2.1. Персональные данные субъектов персональных данных, указанных в пункте 1.5 Правил, обрабатываются в целях осуществления деятельности, предусмотренной локальными нормативными актами Компании, действующим законодательством Санкт-Петербурга и Российской Федерации, заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами и иными лицами, в случаях, предусмотренных действующим законодательством и локальными нормативными актами Компании, организации кадрового учета, обеспечения соблюдения законов и иных нормативных правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение заполнения первичной статистической документации в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», реализацией законодательства Российской Федерации и Санкт-Петербурга, о порядке рассмотрения обращений граждан.       
2.2. В целях, указанных в 2.1 Правил, обрабатываются следующие категории персональных данных работников Компании:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);      
5) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
6) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
7) номер контактного телефона или сведения о других способах связи;         
8) реквизиты страхового свидетельства обязательного пенсионного страхования, либо документ, который подтверждает регистрацию в системе индивидуального персонифицированного учета, в том числе в форме электронного документа;
9) идентификационный номер налогоплательщика (при наличии);
10) реквизиты страхового медицинского полиса обязательного медицинского страхования;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) сведения о семейном положении, составе семьи и о близких родственниках;
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
16) сведения об ученой степени;
17) сведения о владении иностранными языками, уровень владения;
18) фотография и видеозаписи;
19) сведения о профессиональной переподготовке и (или) повышении квалификации;
20) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
21) номер расчетного счета;
22) номер банковской карты;
23) иные персональные данные, необходимые для достижения целей, предусмотренных 2.1. Правил.
2.3. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 5 дней. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
2.4. Обработка персональных данных осуществляется:
- генеральным директором ООО «СПАРУ»,
- заместителями генерального директора ООО «СПАРУ»,
- работниками кадрового направления деятельности ООО «СПАРУ»,
- работниками бухгалтерского направления деятельности ООО «СПАРУ»,
- непосредственным руководителем,
- профильными отделами и должностными лицами, для осуществления работы по направлению деятельности
и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников осуществляется путем:
1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные необходимые документы);
2) копирования/сканирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы и пр.
2.6. В случае возникновения необходимости получения персональных данных работников у третьей стороны следует известить об этом работников, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
2.7. Запрещается получать, обрабатывать и приобщать к личному делу работника, сведения, не предусмотренные 2.2. Правил, в том числе касающиеся политических взглядов, религиозных или философских убеждений, интимной жизни и пр.
2.8. При сборе персональных данных работник, осуществляющий сбор (получение) персональных данных непосредственно от работников, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
2.9. Передача (распространение, предоставление) и использование персональных данных работников, осуществляется лишь в случаях и порядке, предусмотренных законодательством Российской Федерации.
2.10. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.
2.11. Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
2.12. Письменное согласие на обработку персональных данных, разрешенных для распространения, работник предоставляет работодателю лично, либо в форме электронного документа, подписанного электронной подписью с использованием информационной системы Роскомнадзора.
Такое согласие работодатель получает, если закон не предоставляет работодателю права обрабатывать персональные данные без согласия сотрудников.
2.13. Работодатель обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
2.14. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления работодателю требования о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде и должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
2.15. Работник вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Работодатель или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования работника или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то работодатель или третье лицо обязано прекратить передачу персональных данных работника в течение трех рабочих дней с момента вступления решения суда в законную силу.
2.16. Согласие на обработку персональных данных, разрешенных работником для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
2.17. Работодатель обязан обеспечить работнику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
2.18. В случае если из предоставленного работником согласия на распространение персональных данных не следует, что работник согласился с распространением персональных данных, такие персональные данные обрабатываются работодателем без права распространения.
2.19. В случае если из предоставленного работником согласия на передачу персональных данных следует, что работник не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, работодатель обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
2.20. В согласии на распространение персональных данных работник вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных работодателю неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ работодателя в установлении работником данных запретов и условий не допускается.
2.21. В случае отзыва работником согласия на обработку персональных данных работодатель вправе продолжить обработку персональных данных без согласия работника при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 федерального закона от 27 июля 2006 г. № 152-ФЗ.

3. Условия и порядок обработки персональных данных, необходимых в связи с предоставлением государственных услуг

3.1. В ООО «СПАРУ» обработка персональных данных граждан и организаций, обратившихся в Компанию, осуществляется в целях предоставления услуг по направлению деятельности Компании.
3.2. Персональные данные граждан, обратившихся в ООО «СПАРУ» лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения.
В соответствии с законодательством Российской Федерации в Компании подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан, лиц без гражданства, а также обращения организаций.
3.3. При рассмотрении обращений иностранных граждан, лиц без гражданства, в Российской Федерации подлежат обработке их следующие персональные данные:
1) фамилия, имя, отчество (последнее при наличии);
2) почтовый адрес;
3) адрес электронной почты;
4) указанный в обращении контактный телефон;
5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.
3.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных», Федеральным законом «Об организации предоставления государственных и муниципальных услуг», Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации» и иными нормативными правовыми актами, определяющими предоставление услуг в установленной сфере деятельности Компании.
3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, необходимых в связи с предоставлением государственных услуг или исполнением государственных функций, осуществляется непосредственно от субъектов персональных данных путем:
1) получения подлинников документов, необходимых для предоставления государственных услуг или исполнения государственных функций, в том числе заявления;
2) получения необходимых копий документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) внесения персональных данных в программные системы Компании.
3.6. При обработке персональных данных, необходимых в связи с предоставлением государственных услуг запрещается запрашивать у субъектов персональных данных и третьих лиц персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
3.7. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных (заявителей), необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется в случаях и порядке, предусмотренных федеральными законами.

4. Порядок обработки персональных данных в автоматизированных информационных системах

4.1. Обработка персональных данных в ООО «СПАРУ» осуществляется в автоматизированной информационной системе «1С: Зарплата и кадры, Управление автотранспортом».
4.2. Автоматизированные информационные системы содержат персональные данные работников и включают:
1) персональный идентификатор;
2) фамилию, имя, отчество (последнее при наличии);
3) вид документа, удостоверяющего личность;
4) серию и номер документа, удостоверяющего личность, дату выдачи, наименование органа, выдавшего его;
5) адрес регистрации по месту жительства (месту пребывания), адрес фактического проживания;
6) номер контактного телефона (при наличии);
8) адрес электронной почты (при наличии);
9) идентификационный номер налогоплательщика (при наличии);
10) страховое свидетельство обязательного пенсионного страхования, либо документ, который подтверждает регистрацию в системе индивидуального персонифицированного учета, в том числе в форме электронного документа;
11) сведения о семейном положении, составе семьи и о близких родственниках;
12) сведения о трудовой деятельности;
13) сведения о воинском учете и реквизиты документов воинского учета;
14) сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
15) сведения об ученой степени;
16) сведения о профессиональной переподготовке и (или) повышении квалификации, водительское удостоверение.
4.3. Работникам Компании, имеющим право осуществлять обработку персональных данных в автоматизированных информационных системах автоматизированной информационной системе доступ к прикладным программным подсистемам, предоставляется в соответствии с функциями, предусмотренными должностными инструкциями.
Информация может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
4.4. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
4.5. Доступ работников, имеющих право осуществлять обработку персональных данных, к персональным данным, находящимся в автоматизированных информационных системах, предусматривает обязательное прохождение процедуры идентификации.

5. Сроки обработки и хранения персональных данных

5.1. Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», а также иными требованиями законодательства Российской Федерации и нормативными документами.
5.2. В ООО «СПАРУ» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Компании данных типовых форм документов установлены постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Рассмотрение запросов субъектов персональных данных или их представителей

6.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных в ООО «СПАРУ»;
2) правовые основания и цели обработки персональных данных;
3) применяемые в Компании способы обработки персональных данных;
4) наименование и место нахождения Компании, сведения о гражданах (за исключением работников Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «СПАРУ» или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения в ООО «СПАРУ»;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;
9) наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «СПАРУ», если обработка поручена или будет поручена такой организации или лицу;
10) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.
6.2. Субъекты персональных данных вправе требовать от Компании уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Информация, предусмотренная пунктом 6.1 Правил, должна быть предоставлена субъекту персональных данных оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
6.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.
6.5. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
6.6. Информация, предусмотренная пунктом 6.1 Правил, предоставляется субъекту персональных данных или его представителю работником Компании, осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:
1) номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;
2) информацию, подтверждающую участие субъекта персональных данных в правоотношениях с Компанией, либо информацию, иным образом подтверждающую факт обработки персональных данных Компании, заверенную подписью субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7. Порядок доступа в помещения, в которых ведется обработка персональных данных

7.1. Нахождение в помещениях, в которых ведется обработка персональных данных лиц, не являющимися работниками, уполномоченными на обработку персональных данных, возможно только в присутствии работника, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных, предоставлением услуг, осуществлением необходимых функций.
7.2. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на ответственных за организацию обработки персональных данных в ООО «СПАРУ».

8. Ответственные за организацию обработки персональных данных

8.1. Ответственным за организацию обработки персональных данных в ООО «СПАРУ» (далее - ответственные за обработку персональных данных) назначается генеральный директор Компании или иное уполномоченное лицо, назначенное распоряжением (приказом) генерального директора Компании.
8.2. Ответственные за обработку персональных данных в своей работе руководствуются законодательством Российской Федерации в области персональных данных и Правилами.
8.3. Ответственные за обработку персональных данных обязаны:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в ООО «СПАРУ», от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) осуществлять внутренний контроль за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения работников, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Компании;
5) в случае нарушения в Компании требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
8.4. Ответственные за обработку персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных в ООО «СПАРУ» и включающей:
- цели обработки персональных данных;
- категории обрабатываемых персональных данных;
- категории субъектов персональных данных, персональные данные которых обрабатываются;
- правовые основания обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых в Компании способов обработки персональных данных;
- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- дату начала обработки персональных данных;
- срок или условия прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
2) привлекать работников к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Компании.

8.5. Ответственные за обработку персональных данных несут ответственность за надлежащее выполнение функций по организации обработки персональных данных в Компании в соответствии с законодательством Российской Федерации в области персональных данных.

ПОЛОЖЕНИЕ

о защите персональных данных работников

Общества с ограниченной ответственностью

«Специализированное предприятие «Автобаза. Ритуальные услуги»

(ООО «СПАРУ»)

1. Общие положения

1.1. Настоящее Положение о защите персональных данных работников Общества с ограниченной ответственностью «Специализированное предприятие «Автобаза. Ритуальные услуги» (далее – ООО «СПАРУ»/Компания) принято в целях сохранения личной тайны и защиты персональных данных работников ООО «СПАРУ».
1.2. Цель настоящего Положения – защита персональных данных работников Компании от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.3. Положение определяет права и обязанности работников и порядок использования персональных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и защиты персональных данных работников Компании.
1.4.В настоящем Положении используются следующие понятия и термины:
работник – физическое лицо, вступившее в трудовые отношения с работодателем;
работодатель – ООО «СПАРУ»/Компания;
персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника;
обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника;
угроза безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в информационной системе.

2. Понятие и состав персональных данных работника

2.1. Работодатель обрабатывает только общие персональные данные работников.
2.2. Персональные данные работника составляют:
а) сведения о фактах, событиях и обстоятельствах частной жизни работника, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
б) сведения, связанные с профессиональной деятельностью работника, в том числе сведения о поощрениях и о дисциплинарных взысканиях;
2.3. Документами, содержащие персональные данные являются:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховое свидетельство государственного пенсионного страхования;
г) свидетельство о постановке на учет в налоговый орган и присвоения ИНН;
д) документы воинского учета;
е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
ж) карточка Т-2,
з) анкета;
и) документы, содержащие сведения о заработной плате, 2-НДФЛ;
к) приказы о приеме работника на работу, об увольнении, а также о переводе лица на другую должность;
л) другие документы, содержащие сведения, предназначенные для использования в рабочих целях.

3. Создание, обработка, хранение и уничтожение персональных данных работника

3.1. Создание персональных данных работника.
Документы, содержащие персональные данные работника, создаются путем:
а) копирования оригиналов (документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
б) внесения сведений в учетные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов (трудовая книжка, анкета, дополнение к анкете, медицинское заключение и др.).
3.2. При обработке персональных данных работника в целях их защиты и обеспечения прав и свобод человека и гражданина, а также при определении объема и содержания обрабатываемых персональных данных должны строго учитываться положения Конституции Российской Федерации, Трудового кодекса Российской Федерации и иных федеральных законов.
3.3. Обработка персональных данных работника осуществляется на основе принципов:
а) законности целей и способов обработки персональных данных и добросовестности;
б) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
в) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
д) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
3.4. Все персональные данные работника следует получать у него самого, за исключением случаев, если их получение возможно только у третьей стороны.
3.5. Получение персональных данных работника у третьих лиц, возможно только при уведомлении работника об этом заранее и с его письменного согласия.
В уведомлении работника о получении его персональных данных у третьих лиц должна содержаться следующая информация:
а) о целях получения персональных данных;
б) о предполагаемых источниках и способах получения персональных данных;
в) о характере подлежащих получению персональных данных;
г) о последствиях отказа работника, дать письменное согласие на их получение.
3.6. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, а равно как персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.7. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.8. Работники и их представители должны быть ознакомлены под расписку с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.9. Сведения, содержащие персональные данные работника, включаются в его личное дело, карточку формы Т-2, а также содержатся на электронных носителях информации, доступ к которым разрешен лицам, непосредственно использующих персональные данные работника в служебных целях. Перечень лиц определен в пункте 4.1 настоящего Положения.
3.10. Персональные данные, содержащиеся на электронных носителях информации, хранятся в персональных компьютерах (далее – ПК) работников кадровой службы, работников бухгалтерии Компании и пр.
3.11. Доступ к ПК работников кадровой службы и работников бухгалтерии Компании ограничен кругом лиц, определенных в пункте 4.1 настоящего Положения. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.
3.12. Персональные данные, включенные в состав личных дел работников, хранятся в запирающемся несгораемом шкафу.
3.13. Уничтожение персональных данных может быть осуществлено двумя способами в зависимости от типа носителя информации (бумажный или электронный):
- физическое уничтожение носителя (уничтожение через шредерование, сжигание);
- уничтожение информации с носителя:
а) путем нанесения неустранимого физического повреждения (деформация, нарушение целостности);
б) путем удаления средствами операционной системы компьютера через программное удаление содержимого диска (форматирование и многократная перезапись в секторах магнитного диска).
3.14. Уничтожение персональных данных производится специально созданной комиссией, которая актом подтверждает факт уничтожения персональных данных после того, как истечет срок их хранения или компания достигнет цели обработки документов.

4. Доступ к персональным данным работника

4.1. Внутренний доступ.
Доступ к персональным данным работников имеют следующие лица, непосредственно использующие их в служебных целях:
- генеральный директор ООО «СПАРУ»,
- заместители генерального директора ООО «СПАРУ»,
- работники кадрового направления деятельности ООО «СПАРУ»,
- работники бухгалтерского направления деятельности ООО «СПАРУ»,
- непосредственный руководитель работника,
- профильные отделы и должностные лица, для осуществления работы по направлению деятельности.
4.1.1. Уполномоченные лица имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные работники имеют право на полную информацию только об их персональных данных и обработке этих данных.
4.1.2. Получение сведений о персональных данных работников третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия работника, персональные данные которого затребованы.
4.1.3. Получение персональных данных работника третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законом.
4.2. Внешний доступ (другие организации и граждане).
Сообщение сведений о персональных данных работников другим организациям и гражданам разрешается при наличии письменного согласия работника и заявления, подписанного генеральным директором Компании.
4.2.1. Предоставление сведений о персональных данных работников без соответствующего их согласия возможно в следующих случаях:
а) в целях предупреждения угрозы жизни и здоровья работника;                                           
б) при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскной деятельности» от 12.08.1995 № 144-ФЗ;
в) при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов;
4.2.2. Работник, о котором запрашиваются сведения, должен быть уведомлен (письменно или устно) о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф и т. д.
4.2.3. Запрещается передача персональных данных работника в коммерческих целях без его согласия.

5. Защита персональных данных работника.

5.1. В целях обеспечения защиты персональных данных, хранящихся в личных делах, работники имеют право:
а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
б) осуществлять доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника (за исключением случаев если эти записи содержат персональные данные других работников);
в) требовать исключения или исправления не верных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Работник при отказе работодателя исключить или исправить персональные данные работника имеет право заявлять в письменной форме работодателю о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
г) требовать от работодателя уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них изменениях или исключениях из них;
д) обжаловать в суде любые неправомерные действия или бездействие работодателя при обработке и защите персональных данных работника.
5.2. Запрещается передавать информацию о состоянии здоровья работника, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.3. При передаче персональных данных работников третьим лицам, в том числе представителям работников, в порядке, установленном Трудовым кодексом Российской Федерации и настоящим Положением, ограничивать эту информацию только теми персональными данными работников, которые необходимы для выполнения третьими лицами их функций.
5.4. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается за счет средств Компании в порядке, установленном федеральным законом и настоящим Положением.
5.5. Работодатель принимает следующие меры по защите персональных данных:
5.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, внутренний контроль  за соблюдением работниками требований к защите персональных данных.
5.5.2. Установление индивидуальных паролей доступа работников в информационную систему в соответствии с их должностными обязанностями. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается 1-ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются индивидуально работником, имеющим доступ к персональным данным работников.
5.5.3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
5.5.4. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
5.5.5. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
5.5.6. Обнаружение фактов несанкционированного доступа к персональным данным.
5.5.7. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.5.8. Обучение работников, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам и локальным актам по вопросам обработки персональных данных.
5.5.9. Осуществление внутреннего контроля и аудита.
5.5.10. Определение типа угроз безопасности и уровней защищенности персональных данных, которые хранятся в информационных системах.
5.6. Угрозы защищенности персональных данных:
5.6.1. Угрозы первого типа:
В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
5.6.2. Угрозы второго типа:
Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
5.6.3. Угрозы третьего типа:
Потенциальной опасности ни от системного, ни от программного обеспечения нет.
5.7. Защита персональных данных работодателем.
5.7.1. Работодатель обеспечивает режим безопасности помещений, в которых размещает информационную систему;
-обеспечивает сохранность носителей информации;
-утверждает перечень работников, допущенных до персональных данных;
-использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
5.7.2. В целях защиты персональных данных на бумажных носителях работодатель:
-назначает ответственного за обработку персональных данных;
-ограничивает допуск в помещения, где хранятся документы, которые содержат персональные данные работников;
-хранит документы, содержащие персональные данные работников в металлических шкафах, запирающихся на ключ;
-хранит трудовые книжки работников в сейфе.
5.8. В целях обеспечения конфиденциальности, документы содержащие персональные данные работников оформляются, ведутся и хранятся работниками, Компании, состоящими на должностях указанных в локальных нормативных актах Компании и/или допущенных к обработке персональных данных Приказом генерального директора.
5.9. Работники, допущенные к персональным данным, подписывают обязательства о неразглашении персональных данных.
5.10. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
5.11. Передача информации, содержащей сведения о персональных данных работников, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
5.12. В случае утечки персональных данных, работодатель обязан: 
- произвести оценку степени вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ;
-уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передаче персональных данных, повлекшей нарушение прав субъектов персональных данных, а также о предполагаемых причинах и вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента;
-в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщить о лицах, действия которых стали причиной утечки персональных данных.

6. Гарантии конфиденциальности персональных данных

6.1. Все работники Компании, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональных данных, в соответствии с Положением, требованиями законодательства РФ.
6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.