- Общие положения (стр.2-6):
- цели обработки персональных данных;
- термины и определения;
- перечень действий с персональными данными;
- способы обработки персональных данных;
- категории персональных данных;
- обеспечение защиты персональных данных при их обработке Оператором;
- право субъекта персональных данных на доступ к его персональным данным;
- передача персональных данных.
- Инструкция о порядке обработки персональных данных (стр. 7-10):
2.1. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых без использования средств автоматизации;
2.2. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых с использованием средств автоматизации
2.3. Порядок учета, хранения и обращения со съемными носителями персональных данных (их твердыми копиями), а также их утилизации.
2.4. Порядок уничтожения носителей персональных данных в ООО «ДЖЕЙКАР»
- Положение об обработке и защите персональных данных соискателей на замещение вакантных должностей в ООО «ДЖЕЙКАР», работников ООО «ДЖЕЙКАР» и их близких родственников (стр. 11-14).
- Положение об обработке и защите персональных данных клиентов и контрагентов в ООО “ДЖЕЙКАР” (стр.15-18).
- Приложения:
5.1. Приложение № 1: Согласие работника на обработку персональных данных (форма);
5.2. Приложение № 2: Согласие клиента/контрагента на обработку персональных данных (форма);
5.3. Приложение № 3: Согласие на передачу персональных данных третьим лицам (форма);
5.4. Приложение № 4: Отзыв согласия на обработку персональных данных (форма).
5.5. Приложение № 5: Акт об уничтожении бумажных носителей персональных данных (форма);
5.6. Приложение № 6: Акт об уничтожении машиночитаемых носителей и электронных файлов, содержащих персональные данные (форма).
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика обработки персональных данных в ООО «ДЖЕЙКАР» разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», Постановлением Правительства Российской Федерации от 01.11. 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Уставом ООО «ДЖЕЙКАР», иными локальными нормативными документами ООО «ДЖЕЙКАР».
Политика обработки персональных данных разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ООО «ДЖЕЙКАР» вопросы обработки персональных данных работников ООО «ДЖЕЙКАР» и других субъектов персональных данных.
Цели обработки персональных данных.
Персональные данные обрабатываются ООО «ДЖЕЙКАР» (Оператором) в следующих целях:
- обеспечение соблюдения требований законодательства Российской Федерации;
- заключение и исполнение гражданско-правовых договоров;
- оказание услуг по техническому обслуживанию и ремонту транспортных средств;
- проведение расчетов;
- работа с жалобами и заявлениями;
- ведение бухгалтерского учета;
- подбор, обработка, регистрация сведений, необходимых для оказания услуг в области купли-продажи и ремонта/обслуживания транспортных средств (ТС);
- ведение учета технической эксплуатации ТС (обслуживание и ремонт) в электронной сервисной книжке;
- предоставление информации коммерческого и информационного характера (в том числе, но не ограничиваясь: о специальных предложениях, акциях, отзывных и технических компаниях, сервисных программах, новостях).
- в иных законных целях.
Термины и определения
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, другая информация.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект персональных данных - физическое лицо, главный участник операций с информацией о его личности.
Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Работодатель - Общество с ограниченной ответственностью «ДЖЕЙКАР».
Работник – физическое лицо, вступившее в трудовые отношения с Работодателем на основании трудового договор на или на иных основаниях, предусмотренных ст. 16 Трудового кодекса РФ.
Близкие родственники Работника – супруг/супруга, родители, дети, иные лица, входящие в состав семьи Работника.
Клиент – физическое лицо или юридическое лицо - потребитель/приобретатель товаров и/или услуг, предоставляемых ООО «ДЖЕЙКАР».
Контрагент — одна из сторон договора в гражданско-правовых отношениях (его представитель).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В рамках настоящего Положения Оператором признается ООО «ДЖЕЙКАР» - далее «Организация», «Оператор», «Работодатель».
Обработка персональных данных, осуществляемая без использования средств автоматизации (неавтоматизированная обработка) - осуществляется при непосредственном участии человека без использования средств автоматизации. (Обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны на компьютере (ином электронном устройстве) и распечатаны на листе бумаги (материальном носителе), при условии, что они не будут сохранены в памяти устройства, или откопированы на ксероксе).
Обработка персональных данных, осуществляемая с использованием средств автоматизации (автоматизированная обработка) - включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление операций с этими данными, их изменение, уничтожение, поиск или распространение.
Смешанная обработка персональных данных – содержит элементы как автоматизированной, так и неавтоматизированной обработки персональных данных
Перечень действий с персональными данными.
При обработке персональных данных Оператор будет осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки персональных данных.
Обработка персональных данных в ООО «ДЖЕЙКАР» осуществляется следующими способами:
- не автоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
Категории персональных данных
Общедоступные персональные данные:
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц субъектом персональных данных либо по его просьбе/с его согласия или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
Специальные категории персональных данных:
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
- субъект персональных данных дал согласие в письменной форме на обработку таких своих персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных;
- в иных случаях, предусмотренных действующим законодательством.
Обеспечение защиты персональных данных при их обработке Оператором.
Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей по защите персональных данных, предусмотренных действующим законодательством. К таким мерам относятся:
– назначение Оператором ответственного за организацию обработки персональных данных;
– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, а также локальными актами по вопросам обработки персональных данных.
Право субъекта персональных данных на доступ к его персональным данным.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать паспортные данные субъекта персональных данных или его представителя, сведения о дате выдачи паспорта и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Передача персональных данных
При передаче персональных данных Оператор должен соблюдать следующие требования:
- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
- передавать персональные данные субъекта персональных данных их представителям в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций;
- отвечать на запросы граждан и организаций в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
2. ИНСТРУКЦИЯ О ПОРЯДКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ДЖЕЙКАР»
2.1.Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых без использования средств автоматизации
2.1.1. При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
- персональные данные должны отделяться от иной информации, в частности путем фиксации их на отдельных бумажных носителях либо в специальных разделах документов.
2.1.2. Материальные носители с персональными данными должны храниться в запирающихся на ключ помещениях, металлических шкафах, сейфах, иных шкафах, имеющих запираемые блок-секции.
2.1.3. В ООО «ДЖЕЙКАР» обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях (отдельное хранение персональных данных работников и клиентов/контрагентов). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели, обработки которых заведомо несовместимы.
2.1.4. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, не совершая одновременного копирования персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, не совершая одновременного копирования персональных данных, подлежащих уничтожению или блокированию.
2.1.5. При использовании типовых форм документов, характер которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы и т.п.) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых ООО «ДЖЕЙКАР» способов обработки персональных данных;
б) типовая форма может предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо несовместимы.
2.1.6. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
2.1.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, но с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вырезание, вымарывание). Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
2.2. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых с использованием средств автоматизации
2.2.1. Безопасность персональных данных при их обработке в автоматизированных информационных системах обеспечивается с помощью организационных мер, средств защиты информации, информационных технологий.
2.2.2. Компьютеры, в которых содержатся файлы с персональными данными должны находиться в помещениях, оборудованных замками.
2.2.3. Технические и программные средства защиты технических средств автоматизированной обработки (компьютеры, сервер и т.п.) должны находиться в исправном состоянии и обеспечивать сохранность персональных данных.
2.2.4. При обработке персональных данных с использованием средств автоматизации**** должно быть обеспечено:
- недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
- постоянное использование антивирусного, обеспечения и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- недопущение несанкционированного выноса из помещений/установки/подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
2.3. Порядок учета, хранения и обращения со съемными носителями персональных данных (их твердыми копиями), а также их утилизации.
2.3.1. Все находящиеся на хранении и в обращении съемные носители с персональными данными подлежат учету. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
2.3.2. Не допускается:
- хранение съемных носителей с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставление их без присмотра или передача на хранение другим лицам;
- вынос съемных носителей с персональными данными из служебных помещений для работы с ними на дому, в гостиницах, и т.д.
2.3.3. при отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения директора ООО «ДЖЕЙКАР».
2.3.4. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения, содержащихся на них сведений, немедленно ставится в известность директора ООО «ДЖЕЙКАР». На утраченный носитель составляется акт.
2.3.5. Съемные носители персональных данных, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с конфиденциальной информацией осуществляется комиссионно, с составлением соответствующего акта.
2.4. Порядок уничтожения носителей персональных данных в ООО «ДЖЕЙКАР»
2.4.1.Уничтожение бумажных носителей персональных данных
2.4.1.1. Для проведения процедуры уничтожения бумажных носителей персональных данных создается комиссия, состоящая из трех работников ООО «ДЖЕЙКАР», имеющих право на обработку персональных данных. Комиссия назначается приказом директора ООО «ДЖЕЙКАР».
2.4.1.2. Бумажные носители персональных данных (документы, их копии, выписки), уничтожаются путем измельчения на мелкие части, исключающие возможность последующего восстановления информации или сжигаются.
2.4.1.3. По окончании уничтожения бумажных носителей комиссией составляется Акт об уничтожении бумажных носителей персональных данных. Форма Акта об уничтожении бумажных носителей персональных данных приведена в приложении № 5 к настоящей Политике обработки персональных данных.
2.4.1.4. Комиссия составляет и подписывает в двух экземплярах соответствующий Акт об уничтожении бумажных носителей персональных данных. В течение трех дней после составления, Акты об уничтожении направляются на утверждение директору ООО «ДЖНЙКАР». После утверждения директором ООО «ДЖЕЙКАР» один экземпляр акта остается у ответственного лица, осуществлявшего обработку персональных данных, носители которых были уничтожены, второй экземпляр передается в архив на хранение.
2.4.2. Уничтожение носителей персональных данных в электронном виде
2.4.2.1. К персональным данным, хранимым в электронном виде относятся файлы, папки, электронные архивы на жестком диске компьютера и машиночитаемых носителях (компакт-дисках CD-R/RW или DVD-R/RW, дискетах 3,5, флеш-носителях).
2.4.2.2. Машиночитаемые носители (компакт-диски и дискеты) по истечению сроков обработки и хранения на них персональных данных, подлежат уничтожению.
2.4.2.3. Для проведения процедуры уничтожения компакт-дисков и дискет создается комиссия, состоящая из трех работников ООО «ДЖЕЙКАР», имеющих право на обработку персональных данных. Комиссия назначается приказом директора ООО «ДЖЕЙКАР».
2.4.2.4. На основании акта компакт-диски и дискеты физически уничтожаются с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя или его сжигания.
2.4.2.5. Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске информационной системы персональных данных, удаляются средствами операционной системы компьютера с последующим «очищением корзины».
2.4.2.6. В случае допустимости повторного использования носителя формата дискеты 3,5, CD-RW, DVD-RW, флеш-носителя применяется программное удаление («затирание») содержимого путем его форматирования с последующей записью новой информации на данный носитель.
2.4.2.7. В ходе процедуры уничтожения носителей или форматирования носителя необходимо присутствие членов комиссии.
2.4.2.8. Комиссия составляет и подписывает в двух экземплярах соответствующий Акт об уничтожении машиночитаемых носителей и электронных файлов, содержащих персональные данные. В течение трех дней после составления Акты об уничтожении направляются на утверждение директору ООО «ДЖЕЙКАР». После утверждения директором ООО «ДЖЕЙКАР» один экземпляр акта остается у ответственного лица, осуществлявшего обработку персональных данных, носители которых были уничтожены, второй экземпляр передается в архив на хранение.
Форма Акта об уничтожении машиночитаемых носителей и электронных файлов, содержащих персональные данные, приведена в приложении № 6 к настоящей Политике обработки персональных данных.
Лица, имеющие отношение к работе с персональными данными, должны быть в обязательном порядке ознакомлены под расписку с настоящей Инструкцией.
Лица, осуществляющие обработку и (или) хранение персональных данных в ООО «ДЖЕЙКАР», несут ответственность за обеспечение их информационной безопасности. Лица, виновные в нарушении норм, регулирующих обработку и хранение персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
3. Положение об обработке и защите персональных данных соискателей на замещение вакантных должностей в ООО «ДЖЕЙКАР», работников ООО «ДЖЕЙКАР» и их близких родственников. 3.1. Понятие и состав персональных данных
3.1.1. Под персональными данными соискателей, работников и их близких родственников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
3.1.2. Персональные данные соискателей на вакантные должности в ООО «ДЖЕЙКАР» включают:
- Фамилия, имя, отчество;
- Место, год и дата рождения;
- Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- Информация о трудовой деятельности до приема на работу;
- Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
- Телефонный номер (домашний, мобильный);
- Семейное положение и состав семьи (муж/жена, дети, родители);
- Информация о знании иностранных языков.
- Фотография
3.1.3. Персональные данные Работников включают в себя:
- Фамилия, имя, отчество;
- Место, год и дата рождения;
- Адрес по прописке;
- Адрес проживания (реальный);
- Паспортные данные (серия, номер паспорта, кем и когда выдан);
- Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- Информация о трудовой деятельности до приема на работу;
- Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
- Телефонный номер (домашний, рабочий, мобильный);
- Семейное положение и состав семьи (муж/жена, дети, родители);
- Информация о знании иностранных языков;
- Форма допуска;
- Оклад;
- Данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
- Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
- ИНН;
- Данные об аттестации работников;
- Данные о повышении квалификации;
- Данные о наградах, медалях, поощрениях, почетных званиях;
- Информация о приеме на работу, перемещении по должности, увольнении;
- Информация об отпусках;
- Информация о командировках;
- Информация о инвалидности;
- Информация о негосударственном пенсионном обеспечении;
- Фотография
3.1.4. Персональные данные близких родственников Работников ООО «ДЖЕЙКАР» включают:
- Фамилия, имя, отчество;
- Место, год и дата рождения;
- Телефонный номер (домашний, рабочий, мобильный).
3.1.5. Персональные данные являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
Из вышеприведенного списка работодатель вправе получать и использовать только те сведения, которые необходимы для заключения и исполнения трудового договора.
3.2. Обязанности Работодателя
3.2.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
А) Обработка персональных данных соискателей, работников и их близких родственников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Б) При определении объема и содержания обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
В) Все персональные данные следует получать у субъекта персональных данных. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Г) Работодатель не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях и частной жизни субъекта персональных данных. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст.24 Конституции Российской Федерации Работодатель вправе получать и обрабатывать данные о частной жизни Работника только с его письменного согласия.
Д) Работодатель не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
Е) При принятии решений, затрагивающих интересы субъекта персональных данных, Работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Ж) Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты должна быть обеспечена Работодателем за счет его средств в порядке, установленном федеральным законом.
З) Субъекты персональных данных должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
И) Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.
3.3. Обязанности Работника, как субъекта персональных данных
3.3.1. Работник, как субъект персональных данных обязан:
А) Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.
Б) В срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
3.4. Права Работника, как субъекта персональных данных
Работник, как субъект персональных данных имеет право:
- На полную информацию о своих персональных данных и обработке этих данных.
- На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством Российской Федерации.
- На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
- Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе Оператора исключить или исправить персональные данные субъекта персональных данных он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.
- Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
- Определять своих представителей для защиты своих персональных данных.
3.5. Сбор, обработка и хранение персональных данных
3.5.1. Все персональные данные работника или иного субъекта персональных данных следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.5.2. Работодатель должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
3.5.3. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
3.5.4. При поступлении на работу работник заполняет анкету.
3.5.5. Анкета представляет собой перечень вопросов о персональных данных работника.
3.5.6. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
3.5.7. Анкета работника должна храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
3.6. Доступ к персональным данным
3.6.1. Внутренний доступ.
Право доступа к персональным данным соискателей на вакантные должности, работников и их близких родственников имеют:
- директор ООО «ДЖЕЙКАР»;
- работники отдела по персоналу;
- работники подразделений/отделов по направлению деятельности – к тем данным, которые необходимы для выполнения конкретных функций;
- работники информационно-технического отдела;
- советник по безопасности (информация о фактическом месте проживания и контактные телефоны работников);
- руководители подразделений/отделов по направлению деятельности (доступ к персональным данным только работников своего подразделения);
- сами носители данных.
3.6.2. Внешний доступ.
Персональные данные вне Общества могут представляться в государственные и негосударственные функциональные структуры:
- Налоговые инспекции.
- Правоохранительные органы.
- Органы статистики.
- Страховые агентства.
- Военкоматы.
- Органы социального страхования.
- Пенсионные фонды.
- Подразделения муниципальных органов управления.
3.6.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии согласия работника.
3.6.3. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
3.7. Защита персональных данных
3.7.1. В целях обеспечения сохранности и конфиденциальности персональных данных соискателей на вакантные должности, работников и их близких родственников все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только менеджером по персоналу.
3.7.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Общества и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках Общества.
3.7.3. Передача информации, содержащей сведения о персональных данных работников Общества, по телефону, факсу, электронной почте без письменного согласия субъекта персональных данных запрещается.
3.8. Ответственность за разглашение информации, связанной с персональными данными
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
4. Положение об обработке и защите персональных данных клиентов и контрагентов
в ООО “ДЖЕЙКАР”
4.1. Понятие и состав персональных данных.
4.1.1. Под персональными данными клиентов и контрагентов понимается информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного клиента и/или контрагента.
4.1.2. В состав персональных данных Клиентов и контрагентов входят:
- фамилия, имя, отчество;
- год рождения, месяц рождения, дата рождения;
- адрес;
- пол,
- паспортные данные (номер, серия, кем и когда выдан, адрес регистрации);
- адрес фактического места жительства;
- электронная почта;
- данные водительского удостоверения;
- номер телефона;
- информация об автомобиле (VIN, номер и модель двигателя, марка и модель, год выпуска, номерной знак);
- идентификационный номер налогоплательщика (дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе (в случае необходимости));
· серия и номер свидетельства о регистрации транспортных средств.
4.1.3. Оператором могут создаваться и храниться следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах/Контрагентах:
- Анкета.
- Договор.
- Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом и Контрагентом и содержащих персональные данные.
- Данные по оплатам товаров/услуг, содержащие платежные и иные реквизиты Клиента или Контрагента.
- иные документы.
4.2. Права Оператора персональных данных
Оператор вправе:
4.2.1. Отстаивать свои интересы в суде.
4.2.2. Предоставлять персональные данные Клиентов и/или Контрагентов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
4.2.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.
4.3. Права Клиента/Контрагента
Клиент/Контрагент имеет право:
4.3.1. На полную информацию о своих персональных данных и обработке этих данных.
4.3.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.
4.3.3. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4.3.4. Требовать перечень обрабатываемых персональных данных, имеющихся у Оператора и источник их получения.
4.3.5. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.
4.3.6. Обжаловать неправомерные действия или бездействия при обработке его персональных данных.
4.4. Сбор и обработка персональных данных.
4.4.1. Субъект персональных данных предоставляет Оператору достоверные сведения о себе.
4.4.2. Получение (сбор) персональных данных клиента осуществляется в момент его обращения за приобретением товара и/или услуги, в момент обращения с заявлением, в момент указания персональных данных на сайте Оператора ( www.mazdann.ru), в момент иного обращения к Оператору.
4.4.3. В случае подписания договора купли-продажи, технического обслуживания транспортных средств, заявки на ремонт (заказ-наряд), акта выполненных работ и иных документов Клиент и Контрагент выражают свое согласие на обработку персональных данных, требующихся Оператору для исполнения обязательств по обязательствам. Клиент и Контрагент – юридическое лицо гарантирует получение согласия своих работников на обработку персональных данных.
4.4.4. Организация не имеет права получать и обрабатывать персональные данные Клиента и Контрагента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
4.4.5. К обработке персональных данных Клиентов и Контрагентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиентов и Контрагентов.
4.4.6. Обработка персональных данных Клиентов и Контрагентов может осуществляться исключительно в соответствии с требованиями законов и иных нормативных правовых актов РФ.
4.5. Доступ к персональным данным
4.5.1. Внутренний доступ.
Право доступа к персональным Клиентов и Контрагентов имеют:
- директор ООО «ДЖЕЙКАР» ;
- работники подразделений/отделов по направлению деятельности – к тем данным, которые необходимы для выполнения конкретных функций;
- работники информационно-технического отдела;
- советник по безопасности (информация о фактическом месте нахождения и контактные телефоны Клиентов и Контрагентов);
- руководители подразделений/отделов по направлению деятельности (доступ к персональным данным только работников своего подразделения);
- сами носители данных.
4.5.2. Внешний доступ.
Персональные данные вне Общества могут представляться в государственные и негосударственные функциональные структуры:
- Налоговые инспекции.
- Правоохранительные органы.
- Органы статистики.
- Подразделения муниципальных органов управления.
- Другие организации.
4.5.3. Персональные данные Клиентов и Контрагентов могут быть предоставлены третьим лицам только с письменного разрешения самих субъектов персональных данных. 4.6. Защита персональных данных:
4.6.1. Защита персональных данных Клиентов и Контрагентов осуществляется за счёт Оператора в порядке, установленном федеральным законом РФ, локальными организационно-распорядительными документами.
4.6.2. Все сотрудники Оператора, связанные с получением, обработкой и защитой персональных данных Клиентов/Контрагентов, обязаны не разглашать персональные данные Клиентов/Контрагентов.
4.6.3. Сотрудник Оператора, имеющий доступ к персональным данным Клиентов и/или Контрагентов в связи с исполнением трудовых обязанностей:
- Обеспечивает хранение информации, содержащей персональные данные Клиентов и Контрагентов, исключающее доступ к ним третьих лиц.
- В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов и Контрагентов.
- При увольнении сотрудника, имеющего доступ к персональным данным Клиентов и/или Контрагентов, документы и иные носители, содержащие персональные данные Клиентов и Контрагентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов и Контрагентов по указанию директора ООО «ДЖЕЙКАР».
4.6.4. Защита персональных данных Клиентов и Контрагентов, хранящихся в электронных базах данных Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системным администратором.
4.6.5. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов и/или Контрагентов даются только с письменного согласия самого Клиента и/или Контрагента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Оператора, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента и/или Контрагента.
4.7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации и внутренними локальными актами Оператора.