Политика защиты и обработки персональных данных

Редакция от «03» октября 2022г.

1. Общие положения

  1. Настоящая Политика ООО «Перфоманс Лаб» (далее – Общество) в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  2. Политика действует в отношении всех персональных данных, которые обрабатывает Общество.
  3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
  4. Политика является локально-нормативным актом Общества и обязательно для выполнения всеми работниками, состоящими с Обществом в трудовых отношениях, а также лицам, с которыми заключаются или были заключены ранее договоры гражданско-правового характера.
  5. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Общества и его работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
  6. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика размещается в свободном доступе на официальном сайте ООО «Перфоманс Лаб» в информационно-телекоммуникационной сети Интернет.

2. Термины и принятые сокращения

  • Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
  • Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (предоставление, доступ);
  • распространение;
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.
  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
  • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
  • Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
  • Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.
  • Защита персональных данных – деятельность, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

3. Состав персональных данных работников

  • Информация, предоставляемая работником при поступлении на работу в Общество, должна иметь документарную форму.
  • При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу должно предъявить:
  • Паспорт или иной документ, удостоверяющий личность;
  • Трудовая книжка и/или сведения о трудовой деятельности, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
  • Страховое свидетельство государственного пенсионного страхования;
  • Документы воинского учета – для лиц, подлежащих воинскому учету;
  • Документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки.
  • При оформлении работника отделом кадров заполняется электронная форма «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
  • Общие сведения (ФИО, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, паспортные данные, номер ИНН, СНИЛС, состав семьи и состояние в браке);
  • Сведения о воинском учете;
  • Данные о приеме на работу;
  • Сведения об аттестации;
  • Сведения о повышении квалификации;
  • Сведения о профессиональной переподготовке;
  • Сведения о наградах (поощрениях), почетных званиях;
  • Сведения об отпусках;
  • Сведения о социальных гарантиях;
  • Сведения о месте жительства и контактных телефонах;
  • Адресе личной электронной почты.
  • В Отделе персонала Общества создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
  • Документы, содержащие персональные данные работников:
  • Документы, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
  • Материалы по анкетированию, тестированию, проведению собеседований с кандидатами на должность;
  • Подлинники и копии приказов по кадрам;
  • Личные дела и трудовые книжки;
  • Документы, содержащие основания к приказу по личному составу;
  • Документы, содержащие материалы внутренних расследований;
  • Справочно-информационный банк данных по персоналу (картотеки, журналы);
  • Подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений;
  • Копии отчетов, направляемых в государственные органы статистика, налоговые инспекции, вышестоящие органы управления и другие учреждения.
  • Документация по организации работы Оператора:
  • Должностные инструкции работников;
  • Приказы, распоряжения, указания руководства Общества;
  • Документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

4. Порядок и условия обработки и хранения персональных данных

  • Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
  • Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
  • Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
  • Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
  • Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
  • Письменное согласие работника на обработку своих персональных данных должно включать в себя:
  • Фамилию, имя, отечество, адрес субъекта персональных данных, номер документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • Наименование и адрес оператора, получающего согласие субъекта персональных данных;
  • Цель обработки персональных данных;
  • Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • Срок, в течение которого действует согласие, а также порядок его отзыва.
  • К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
  • Обработка персональных данных осуществляется путем:
  • получения персональных данных в письменной форме непосредственно с согласия субъекта персональных данных на обработку или распространение его персональных данных;
  • внесения персональных данных в журналы, реестры и информационные системы Оператора;
  • использования иных способов обработки персональных данных.
  • Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
  • Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
  • Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
  • определяет угрозы безопасности персональных данных при их обработке;
  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
  • создает необходимые условия для работы с персональными данными;
  • организует учет документов, содержащих персональные данные;
  • организует работу с информационными системами, в которых обрабатываются персональные данные;
  • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
  • организует обучение работников Оператора, осуществляющих обработку персональных данных.
  • Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором или соглашением.
  • При сборе персональных данных, в том числе посредством информационно телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
  • Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  • Обработка Оператором персональных данных осуществляется в следующих целях:
  • обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • исполнения трудового договора;
  • ведение кадрового делопроизводства;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
  • привлечение и отбор кандидатов на работу у Оператора;
  • организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
  • заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
  • осуществление гражданско-правовых отношений;
  • ведение бухгалтерского учета;
  • осуществление пропускного режима.
  • Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
  • Обрабатываются персональные данные следующих субъектов:
  • физические лица, состоящие с Обществом в трудовых отношениях;
  • физические лица, уволившиеся из Общества;
  • физические лица, являющиеся кандидатами на работу;
  • физические лица, состоящие с Обществом в гражданско-правовых отношениях.
  • Персональные данные, обрабатываемые Оператором:
  • данные, полученные при осуществлении трудовых отношений;
  • данные, полученные для осуществления отбора кандидатов на работу;
  • данные, полученные при осуществлении гражданско-правовых отношений.
  • Хранение персональных данных:
  • Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
  • Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
  • Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
  • Не допускается хранение и размещение документов, содержащих персональные данные в открытых электронных каталогах (файлообменниках).
  • Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
  • Уничтожение персональных данных:
  • Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
  • Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
  • Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

5. Защита персональных данных

  • В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
  • Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
  • Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
  • Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
  • Основными мерами защиты персональных данных, используемыми Оператором, являются:
  • Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, внутренний контроль за соблюдением Обществом и его работниками требований к защите персональных данных.
  • Определение актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных и разработка мер и мероприятий по защите персональных данных.
  • Разработка политики в отношении обработки персональных данных.
  • Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных.
  • Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями при соблюдении базовых требований к безопасности паролей, а именно: уникальность, длина не менее восьми знаков, а также сложность – наличие букв разного регистра, цифр и специальных символов.
  • Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
  • Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
  • Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
  • Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
  • Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  • Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
  • Осуществление внутреннего контроля и аудита.
  • Установление индивидуальных паролей доступа сотрудников к их рабочим ПК и учетным записям при соблюдении базовых требований к безопасности паролей, а именно: уникальность, длина не менее восьми знаков, а также сложность – наличие букв разного регистра, цифр и специальных символов.

6. Передача персональных данных

  • При передаче персональных данных работника работодатель должен соблюдать следующие требования:
  • Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
  • Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
  • Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).
  • Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
  • Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
  • Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
  • Письменное согласие работника на передачу своих персональных данных должно включать в себя:
  • Фамилию, имя, отечество, адрес субъекта персональных данных, номер документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • Наименование и адрес оператора, получающего согласие субъекта персональных данных;
  • Цель обработки персональных данных;
  • Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов передачи персональных данных;
  • Срок, в течение которого действует согласие, а также порядок его отзыва.

7. Основные права субъекта персональных данных и обязанности Оператора

  • Основные права субъекта персональных данных.

Субъект имеет право на доступ к его персональным данным и следующим сведениям:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • обращение к Оператору и направление ему запросов;
  • обжалование действий или бездействия Оператора.
  • Обязанности Оператора.

Оператор обязан:

  • при сборе персональных данных предоставить информацию об обработке персональных данных;
  • в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
  • при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

  • Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
  • подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

  • В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

  • В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
  • При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
  • иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

9. Заключительные положения

  • Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов в области персональных данных определяется в соответствии с законодательством Российской Федерации.
  • Настоящая Политика вступает в силу с момента утверждения и действует бессрочно до принятия новой Политики.