1.Общие положения
1.1. Положение о работе с персональными данными работников ООО «Альянс-Энергия» (далее – Положение) разработано в соответствии с Конституцией, Трудовым кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ (далее по тексту Закон), Федеральным законом от 30.12.2020 № 519-ФЗ и иными нормативно-правовыми актами, действующими на территории России.
В настоящем Положении используются следующие понятия:
—
сайт —
https://allianceenergy.ru, расположенный на доменном имени allianceenergy.ru.
—
администрация сайта — уполномоченные на управление сайтом работники, определяющие состав персональных данных пользователей сайта, цели сбора персональных данных, их обработку и хранение;
—
пользователь сайта — физическое лицо, пользователь услуг сайта, субъект персональных данных, добровольно зарегистрировавшийся на сайте и предоставивший необходимые персональные данные при регистрации;
—
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
—
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.2. Настоящее Положение определяет порядок работы (cбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи, удаления, уничтожения) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работодателю.
Настоящее Положение также устанавливает порядок получения, защиты, хранения, обработки и передачи персональных данных пользователей сайта, действует в отношении всей информации, которую администрация сайта может получить о пользователях во время использования ими сайта.
1.3. Цель настоящего Положения – защита персональных данных работников ООО «Альянс-Энергия», клиентов, контрагентов и пользователей сайтов
https://allianceenergy.ru (далее – Сайт) ООО «Альянс-Энергия» от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.4. В целях настоящего Положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
1.5. В состав персональных данных, которые работник сообщает работодателю, входят:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- место рождения;
- возраст;
- гражданство;
- сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
- адрес места регистрации, проживания;
- паспортные данные;
- сведения о воинском учете;
- страховой номер индивидуального лицевого счета;
- сведения о трудовой деятельности;
- сведения о семейном положении;
- специальные персональные данные: сведения о судимости, сведения о состоянии здоровья;
- контактная информация: контактный телефон, электронная почта;
- сведения об открытых банковских счетах;
- сведения о постановке на налоговый учет (ИНН);
- иные сведения, которые относятся к трудовой деятельности работника
- технические данные пользователя электронного Сайта: IP-адреса, дата и время доступа, адрес посещаемой страницы, источник входа, реферер (адрес предыдущей страницы), информация о поведении (включая количество и наименование просмотренных страниц), прочие технические данные (данные о технических средствах (в том числе, мобильных устройствах) и способах технологического взаимодействия с Сайтом и его сервисами (в т.ч. вид операционной системы Пользователя, тип браузера, географическое положение, данные о провайдере и иное), об активности Пользователя при использовании Сайта, об информации об ошибках, выдаваемых Пользователю, о скачанных файлах, инструментах, а также иные данные, получаемые установленными настоящим согласием способами.
1.6. Документами, которые содержат персональные данные работников, являются:
- комплектыдокументов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
- комплектыматериалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- подлинники и копии приказов (распоряжений) по кадрам;
- личные дела, трудовые книжки, сведения о трудовой деятельности работников;
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- справочно-информационный банк данных по персоналу (картотеки, журналы);
- копии отчетов, направляемых в государственные контролирующие органы.
1.7. Указанные сведения и документы являются конфиденциальными. Работодатель, как оператор персональных данных, не вправе распространять персональные данные без согласия работника, если иное не предусмотрено федеральным законом.
1.8. Настоящее Положение и изменения к нему утверждаются директором ООО «Альянс-Энергия». Все работники должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
1.9 Настоящее Положение размещается на официальных сайтах ООО «Альянс-Энергия» по адресам, https://allianceenergy.ru в свободном доступе.
2.Получение и обработка персональных данных работников и пользователей сайта
2.1. Получение и обработка персональных данных работников.
2.1.1. Персональные данные работника работодатель получает непосредственно от работника. Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.
2.1.2. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Сбор и обработка персональных данных, которые не относятся к трудовой деятельности (например, фото, номер мобильного телефона, адрес электронной почты), производится только с письменного согласия работника.
2.1.3. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.4. Обработка персональных данных работников производится в целях:
— соблюдение законов и иных нормативных актов – во всех случаях обработки персональных данных;
— подбор персонала, проведение собеседований и оценка профессиональных качеств соискателей;
— обработка персональных данных сотрудников и членов их семей в целях трудоустройства и исполнения законодательства РФ, действующего в отношении организации как работодателя.
2.1.5. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
— при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
— работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
— работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;
— при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
2.1.6. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.
2.1.7. Чтобы обрабатывать персональные данные сотрудников, работодатель получает от каждого сотрудника согласие на обработку его персональных данных (Приложение № 1 к настоящему Положению). Исключением будут случаи, когда такое согласие не требуется (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).
2.1.8. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в течение 3-х дней.
2.1.9. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
2.1.10. Согласие на обработку персональных данных может быть отозвано работником. В случае отзыва работником согласия на обработку персональных данных работодатель вправе продолжить обработку персональных данных без согласия работника при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ.
2.1.11. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
2.1.12. Работодатель, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
2.2. Получение и обработка персональных данных пользователей сайта.
2.2.1. Получение и обработка персональных данных пользователей сайта осуществляется исключительно в целях, указанных в п. 2.2.4. настоящего Положения.
2.2.2. Обработка персональных данных на сайте осуществляется как с использованием средств автоматизации, так и без использования таких средств.
2.2.3. К категориям субъектов персональных данных относятся пользователи сайта.
2.2.4. Обработка персональных данных пользователей сайта производится в целях: анализа посещаемости сайта и пользовательского поведения с целью улучшения его функциональности и содержания (с использованием cookies и метрической программы ЯндексМетрика).
2.2.5. Персональные данные пользователей сайта хранятся в электронном виде в информационной системе персональных данных сайта, а также в архивных копиях баз данных сайта.
2.2.6. При хранении персональных данных пользователей сайта соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
К обработке персональных данных пользователей сайта могут иметь доступ только работники администрации сайта, допущенные к работе с персональными данными пользователей сайта и подписавшие соглашение о неразглашении персональных данных пользователей сайта.
Перечень работников сайта, имеющих доступ к персональным данным пользователей сайта, утверждается приказом.
2.5. Администрация сайта может передавать персональные данные пользователей сайта третьим лицам, только если это необходимо в целях предупреждения угрозы их жизни и здоровью, а также в случаях, установленных законодательством.
2.6. Администрация сайта обязана предоставлять персональные данные пользователей только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящей политикой конфиденциальности и законодательством Российской Федерации.
2.7. При передаче персональных данных пользователей сайта администрация сайта предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.
2.8. Согласие на обработку персональных данных, разрешенных пользователем сайта для распространения, оформляется отдельно от иных согласий пользователя сайта на обработку его персональных данных. Администрация сайта обеспечивает пользователю сайта возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных им для распространения.
2.9. В согласии на обработку персональных данных, разрешенных пользователем сайта для распространения, он вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных администрацией сайта неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
2.10. Передача (распространение, предоставление, доступ) персональных данных, разрешенных пользователем сайта для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только администрацией сайта.
2.11. Иные права, обязанности, действия работников администрации сайта, в трудовые обязанности которых входит обработка персональных данных пользователей сайта, определяются должностными инструкциями.
2.12. Все сведения о передаче персональных данных пользователей сайта учитываются для контроля правомерности использования данной информации лицами, ее получившими.
2.13. В целях повышения качества сервиса и обеспечения возможности правовой защиты администрация сайта вправе хранить лог-файлы о действиях, совершенных пользователями в рамках использования сайта.
Обработка персональных данных клиентов (контрагентов) производится в целях исполнения договорных обязательств.
3.Хранение персональных данных работников и пользователей сайта.
3.1. Хранение персональных данных работников.
3.1.1. ООО «Альянс-Энергия» обеспечивает защиту персональных данных работников от неправомерного использования или утраты, предпринимая меры, предусмотренные ст. 18.1 и 19 Федерального закона «О персональных данных», а именно:
1) Работодатель осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных, требованиям к защите персональных данных, политике работодателя в отношении обработки персональных данных, настоящему положению.
2) Работодатель знакомит работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику работодателя в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучает указанных работников.
3) Работодатель обеспечивает безопасность персональных данных работников следующими способами:
— определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
— применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
— оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
— учетом машинных носителей персональных данных;
— обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
4) Осуществляется внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему положению.
5) Назначено лицо, ответственное за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Обществом требований к защите персональных данных.
6) Обеспечен неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
7) Установлены индивидуальные пароли доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
- Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.
- Соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный доступ к ним:
— разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
— персональные данные доступны для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации;
— определены места хранения персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
-исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными.
- Обеспечено обнаружение фактов несанкционированного доступа к персональным данным.
- Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Используются сертифицированные антивирусные средства защиты информации с регулярно обновляемыми базами.
- Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки.
- Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей.
- Обеспечен учет и сохранность носителей персональных данных и средств защиты информации.
- Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
17) Личные дела и личные карточки в бумажном виде хранятся в отделе бухгалтерии в специально отведенном металлическом шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.
18) Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается с помощью идентификации учетной записи пользователя и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов на уровне баз данных. Пароли устанавливаются заместителем директора по аналитической работе ООО «Альянс-Энергия» и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.
19) Изменение паролей производится заместителем директора по аналитической работе ООО «Альянс-Энергия» происходит по запросу пользователя либо при угрозе взлома базы данных.
20) Доступ к персональным данным работника имеют директор ООО «Альянс-Энергия», его заместители, исполнительный директор, управляющий директор, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии, офис-менеджеры – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения директора ООО «Альянс-Энергия».
21) Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения директора ООО «Альянс-Энергия» или его заместителя.
3.2. Хранение персональных данных пользователей сайта.
3.2.2. Персональные данные пользователей сайта хранятся в электронном виде в информационной системе персональных данных сайта, а также в архивных копиях баз данных сайта.
3.2.3. При хранении персональных данных пользователей сайта соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
3.2.4. К обработке персональных данных пользователей сайта могут иметь доступ только работники администрации сайта, допущенные к работе с персональными данными пользователей сайта и подписавшие соглашение о неразглашении персональных данных пользователей сайта.
3.2.5. Перечень работников сайта, имеющих доступ к персональным данным пользователей сайта, утверждается приказом Директора.
3.2.6. Администрация сайта может передавать персональные данные пользователей сайта третьим лицам, только если это необходимо в целях предупреждения угрозы их жизни и здоровью, а также в случаях, установленных законодательством.
3.2.7. Администрация сайта обязана предоставлять персональные данные пользователей только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящей политикой конфиденциальности и законодательством Российской Федерации.
3.2.8. При передаче персональных данных пользователей сайта администрация сайта предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.
3.2.9. Согласие на обработку персональных данных, разрешенных пользователем сайта для распространения, оформляется отдельно от иных согласий пользователя сайта на обработку его персональных данных. Администрация сайта обеспечивает пользователю сайта возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных им для распространения.
3.2.10. В согласии на обработку персональных данных, разрешенных пользователем сайта для распространения, он вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных администрацией сайта неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
3.2.11. Передача (распространение, предоставление, доступ) персональных данных, разрешенных пользователем сайта для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только администрацией сайта.
3.2.12. Иные права, обязанности, действия работников администрации сайта, в трудовые обязанности которых входит обработка персональных данных пользователей сайта, определяются должностными инструкциями.
3.2.13. Все сведения о передаче персональных данных пользователей сайта учитываются для контроля правомерности использования данной информации лицами, ее получившими.
3.2.14. В целях повышения качества сервиса и обеспечения возможности правовой защиты администрация сайта вправе хранить лог-файлы о действиях, совершенных пользователями в рамках использования сайта.
4.Использование персональных данных работников и пользователей сайта
4.1. Использование персональных данных работников.
Персональные данные работника используются с целью осуществления видов деятельности Работодателя в соответствии с Уставом, ведения кадровой работы и бухгалтерского учета, для целей, связанных с осуществлением трудовых взаимоотношений с работниками, выполнением работником трудовых функций, в частности, для решения вопросов продвижения по службе, очередности предоставления еже годного отпуска, установления размера заработной платы, о допуске его к информации, составляющих служебную и коммерческую тайну. Работодатель для этой цели запрашивает у работника:
- общие персональные данные: фамилию, имя, отчество, дату, месяц и год рождения, место рождения, адрес, сведения о семейном положении, сведения об образовании, профессии, доходах;
- специальные категории персональных данных: сведения о состоянии здоровья, сведения о судимости;
- иные персональные данные: паспортные данные, данные трудовой книжки, данные военного билета, сведения о пенсионном страховании, ИНН, данные о номере телефона, данные водительского удостоверения, данные ДОПОГ.
4.1.2. Персональные данные, представленные работником, обрабатываются автоматизированным и без использования средств автоматизации способами с передачей по внутренней сети Работодателя и по сети Интернет. Работодатель не принимает, не снимает и не хранит копии личных документов работников. Документы, которые работник предъявляет работодателю для хранения в оригинале (справки, медицинские заключения и т. д.), хранятся в личном деле работника в течение 50 лет после расторжения с работником трудового договора.
4.1.3. После истечения срока нормативного хранения документов, которые содержат персональные данные работника, документы подлежат уничтожению. Для этого работодатель создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы уничтожаются в шредере. Персональные данные работников в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.
4.1.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.
4.2. Использование персональных данных пользователей сайта.
Персональные данные пользователей сайта являются конфиденциальной информацией и не могут быть использованы администрацией сайта или любым иным лицом в личных целях.
5.Передача и распространение персональных данных работников
5.1. Передача и распространение персональных данных работников.
5.1.2. При передаче работодателем персональных данных работник должен дать на это согласие в письменной или электронной форме. Если сотрудник оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.
5.1.3. Работодатель вправе передать информацию, которая относится к персональным данным работника, без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
5.1.4. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законодательством.
5.1.5. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.
5.1.6. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
5.1.7. Работодатель не вправе распространять персональные данные работников третьим лицам без согласия работника на передачу таких данных.
5.1.8. Согласие на обработку персональных данных, разрешенных работником для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.1.9. Работодатель обязан обеспечить работнику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
5.1.10. В случае если из предоставленного работником согласия на распространение персональных данных не следует, что работник согласился с распространением персональных данных, такие персональные данные обрабатываются работодателем без права распространения.
5.1.11. В случае если из предоставленного работником согласия на передачу персональных данных не следует, что работник не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, работодатель обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
5.1.12. Согласие работника на распространение персональных данных может быть предоставлено работодателю:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
5.1.13. В согласии на распространение персональных данных работник вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных работодателем неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ работодателя в установлении работником данных запретов и условий не допускается.
5.1.14. Работодатель обязан в срок не позднее трех рабочих дней с момента получения согласия работника на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных работника для распространения.
5.1.15. Передача (распространение, предоставление, доступ) персональных данных, разрешенных работником для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
5.1.16. Действие согласия работника на распространение персональных данных прекращается с момента поступления работодателю требования, указанного в пункте 5.1.15. настоящего Положения.
5.1.17. Работник вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Работодатель или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования работника или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то работодатель или третье лицо обязаны прекратить передачу персональных данных работника в течение трех рабочих дней с момента вступления решения суда в законную силу.
6. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
6.1. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
— полную информацию об их персональных данных и обработке этих данных, в том числе содержащую:
-подтверждение факта обработки персональных данных работодателем;
правовые основания и цели обработки персональных данных;
цели и применяемые работодателем способы обработки персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
информацию о способах исполнения работодателем обязанностей при обработке персональных данных;
— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
— определение своих представителей для защиты своих персональных данных;
— доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
— требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
— обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Права пользователей сайта на защиту своих персональных данных
7.1. Пользователи сайта в целях обеспечения защиты своих персональных данных, хранящихся на сайте, имеют право:
— получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
— определять своих представителей для защиты своих персональных данных;
— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящей политики конфиденциальности и законодательства Российской Федерации;
— требовать от администрации сайта извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные пользователей сайта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
При отказе администрации сайта исключить или исправить персональные данные пользователей сайта пользователи вправе заявить администрации сайта в письменном виде о своем несогласии с соответствующим обоснованием.
7.2. Пользователи сайта вправе самостоятельно ограничить сбор информации третьими лицами, используя стандартные настройки конфиденциальности применяемого ими для работы с сайтом интернет-браузера, а также в любое время изменить, удалить или дополнить представленные ими персональные данные.
7.3. Если пользователи сайта считают, что обработка их персональных данных осуществляется с нарушением требований Закона о персональных данных или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие администрации сайта в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.4. Пользователи сайта вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленные ими при регистрации или авторизации персональные данные.
7.5. Пользователи сайта не должны отказываться от своих прав на сохранение и защиту тайны.
8. Права и обязанности администрации сайта
8.1. Администрация сайта вправе устанавливать требования к составу персональных данных пользователей, которые должны обязательно предоставляться для использования сайта, при этом администрация сайта руководствуется настоящей политикой конфиденциальности, Конституцией Российской Федерации, иными федеральными законами.
8.2. Администрация сайта не осуществляет проверку достоверности предоставляемых пользователями сайта персональных данных, полагая, что они действуют добросовестно и поддерживают информацию о своих персональных данных в актуальном состоянии.
8.3. Администрация сайта не несет ответственности за добровольную передачу пользователями сайта своих контактных данных, пароля или логина третьим лицам.
8.4. Администрация сайта не вправе получать и обрабатывать персональные данные пользователей сайта о их политических, религиозных и иных убеждениях и частной жизни.
8.5. Администрация сайта за свой счет обеспечивает защиту персональных данных пользователей сайта от неправомерного использования или утраты в порядке, установленном законодательством Российской Федерации.
8.6. Администрация сайта принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Администрация сайта самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
— назначение ответственного за организацию обработки персональных данных;
— издание документов, определяющих политику сайта в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права пользователей сайта, а также возлагающие на администрацию сайта не предусмотренные законодательством Российской Федерации полномочия и обязанности;
— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике сайта в отношении обработки персональных данных, локальным актам сайта;
— оценка вреда, который может быть причинен пользователям сайта в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых администрацией сайта мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
— ознакомление работников сайта, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику сайта в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
9.Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
9.2. Моральный вред, причиненный лицу, вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законодательством, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.
10.Защита персональных данных.
10.1. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, происходит на основе определения уровня защищенности персональных данных и типа угроз безопасности.
10.2. Угрозы защищенности персональных данных:
10.2.1. Угрозы первого типа. В системном программном обеспечении информационной системы есть функциональные возможности программного обеспечения, которые не указаны в описании к нему либо не отвечают характеристикам, которые заявил производитель. И это потенциально может привести к неправомерному использованию персональных данных.
10.2.2. Угрозы второго типа. Потенциальные проблемы с прикладным программным обеспечением — внешними программами, которые установлены на компьютерах работников.
10.2.3. Угрозы третьего типа. Потенциальной опасности ни от системного, ни от программного обеспечения нет.
10.3. Уровни защищенности персональных данных (далее – ПД):
10.3.1. Первый уровень защищенности. Если Общество отнесло информационную систему к первому типу угрозы или если тип угрозы второй, но Общество обрабатывает специальные категории ПД более 100 тыс. физических лиц без учета работников.
10.3.2. Второй уровень защищенности. Если тип угрозы второй и Общество обрабатывает специальные категории ПД субъектов персональных данных, вне зависимости от их количества, или специальные категории ПД менее чем 100 тыс. физических лиц, или любые другие категории ПД более чем 100 тыс. физических лиц, или при третьем типе угрозы Общество обрабатывает специальные категории данных более чем 100 тыс. физических лиц.
10.3.3. Третий уровень защищенности. Если при втором типе угрозы Общество обрабатывает общие ПД субъектов персональных данных или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Общество обрабатывает специальные категории ПД субъектов или менее чем 100 тыс. физических лиц, или при третьем типе угрозы Общество обрабатывает биометрические ПД, или при третьем типе угрозы Общество обрабатывает общие ПД более чем 100 тыс. физических лиц.
10.3.4. Четвертый уровень защищенности. Если при третьем типе угрозы Общество обрабатывает только общие ПД субъектов персональных данных или менее чем 100 тыс. физических лиц.
10.4. При четвертом уровне защищенности персональных данных Общество:
- обеспечивает режим безопасности помещений, в которых размещается информационная система;
- обеспечивает сохранность носителей информации;
- утверждает перечень работников, допущенных до ПД субъектов персональных данных;
- использует средства защиты информации, которые прошли оценку соответствия требованиям закона в области обеспечения безопасности информации.
10.5. При третьем уровне защищенности ПД дополнительно к мерам, перечисленным в настоящем Положении, Общество назначает ответственного за обеспечение безопасности ПД в информационной системе.
10.6. При втором уровне защищенности ПД дополнительно к мерам, перечисленным в настоящем Положении, Общество ограничивает доступ к электронному журналу сообщений, за исключением работников, которым такие сведения необходимы для работы.
10.7. При первом уровне защищенности ПД дополнительно к мерам, перечисленным в настоящем Положении, Общество:
- обеспечивает автоматическую регистрацию в электронном журнале безопасности изменения полномочий работников по допуску к ПД в системе;
- создает отдел, ответственный за безопасность ПД в системе, либо возлагает такую обязанность на один из существующих отделов.
10.8. В целях защиты ПД на бумажных носителях Общество:
- приказом назначает ответственного за обработку ПД;
- ограничивает допуск в помещения, где хранятся документы, которые содержат ПД субъектов персональных данных;
- хранит документы, содержащие ПД субъектов персональных данных в шкафах, запирающихся на ключ.
10.9. В целях обеспечения конфиденциальности документов, содержащих ПД субъектов персональных данных, оформляются, ведутся и хранятся только работниками отдела маркетинга, бухгалтерии. Обществом утвержден регламент допуска работников к обработке персональных данных как других работников ООО «Альянс-Энергия», так и пользователей официальных сайтов ООО «Альянс-Энергия».
10.10. Работники отдела маркетинга, бухгалтерии Общества, допущенные к ПД работников, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки ПД не допускаются.
10.11. Передача ПД по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия субъекта персональных данных на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
10.12. Передача информации, содержащей сведения о ПД субъекта персональных данных, по телефону в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
11.Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных.
11.1. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в Обществе осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и другими нормативными правовыми актами, касающимися обработки персональных данных.
11.2. Основные понятия и термины, используемые в настоящем Положении, применяются в том же значении, что и в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».
11.3. Целью внутреннего контроля является обеспечение защиты персональных данных сотрудников Общества от несанкционированного доступа, неправомерного их использования или утраты, определение порядка и правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
11.4. Внутренний контроль соответствия обработки персональных данных делится на текущий и комиссионный.
11.5. Текущий внутренний контроль осуществляется на постоянной основе ответственным за организацию обработки персональных данных в обществе, руководителями направлений деятельности и структурных подразделений общества и операторами информационных систем персональных данных в ходе мероприятий по обработке персональных данных.
Ответственный за организацию обработки персональных данных в Обществе имеет право:
- запрашивать у сотрудников Общества информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства РФ;
- вносить руководителю общества предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства РФ в отношении обработки персональных данных.
11.6. Комиссионный внутренний контроль осуществляется комиссией, образуемой приказом руководителя Общества из числа сотрудников Общества, допущенных к обработке персональных данных. Периодичность проверки – не реже одного раза в три года.
Комиссионные проверки соответствия обработки персональных данных установленным требованиям в Обществе проводятся на основании утвержденного руководителем Общества плана осуществления комиссионного внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии, или на основании поступившего в Общество письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
Внеплановые проверки организуются в течение трех рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.
11.7. При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям комиссией должно быть полностью, объективно и всесторонне установлено соответствие по следующим положениям:
- наличие, учет, порядок хранения и обезличивания персональных данных;
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
11.8. В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки персональных данных в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
11.9. Срок проведения проверки комиссией не может составлять более 20 дней со дня принятия решения о ее проведении.
11.10. Результаты проверки оформляются в виде протокола проведения внутренней проверки.
11.11. При выявлении в ходе проверки нарушений ответственным за организацию обработки персональных данных в Обществе либо председателем комиссии в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
11.12. Протоколы хранятся у ответственного за организацию обработки персональных данных в течение текущего года. Уничтожение протоколов проводится ответственным за организацию обработки персональных данных самостоятельно в январе года, следующего за проверочным годом.
11.13. О результатах проверки и мерах, необходимых для устранения нарушений, руководителю Общества докладывает ответственный за организацию обработки персональных данных в Обществе либо председатель комиссии.
12. Порядок уничтожения, блокирования персональных данных
12.1. В случае выявления неправомерной обработки персональных данных при обращении пользователя сайта администрация сайта осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому пользователю, с момента такого обращения на период проверки.
12.2. В случае выявления неточных персональных данных при обращении пользователя сайта администрация сайта осуществляет блокирование персональных данных, относящихся к этому пользователю, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы пользователя сайта или третьих лиц.
12.3. В случае подтверждения факта неточности персональных данных администрация сайта на основании сведений, представленных пользователем сайта, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
12.4. В случае выявления неправомерной обработки персональных данных, осуществляемой администрацией сайта, администрация сайта в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
12.5. В случае если обеспечить правомерность обработки персональных данных невозможно, администрация сайта в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
12.6. Об устранении допущенных нарушений или об уничтожении персональных данных администрация сайта уведомляет пользователя сайта.
12.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав пользователя сайта, администрация сайта с момента выявления такого инцидента администрацией сайта, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
— в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав пользователя сайта, и предполагаемом вреде, нанесенном правам пользователя сайта, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном администрацией сайта на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
— в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
12.8. В случае достижения цели обработки персональных данных администрация сайта прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
12.9. В случае отзыва пользователем сайта согласия на обработку его персональных данных администрация сайта прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
12.10. В случае обращения пользователя сайта к администрации сайта с требованием о прекращении обработки персональных данных администрация сайта в срок, не превышающий десяти рабочих дней с даты получения ей соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления администрацией сайта в адрес пользователя сайта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
12.11. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 12.4-12.10 настоящего Положения политики, администрация сайта осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
12.12. После истечения срока нормативного хранения документов, содержащих персональные данные пользователя сайта, или при наступлении иных законных оснований документы подлежат уничтожению.
12.13. Администрация сайта для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
12.14. По результатам экспертизы документы, содержащие персональные данные пользователя сайта и подлежащие уничтожению:
— на бумажном носителе — уничтожаются путем сжигания
;— в электронном виде — стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.