ПРАВИЛА

обработки персональных данных в обществе с ограниченной ответственностью «Светлоградский маслоэкстракционный завод»

 

  1. Общие положения
    • Обработка персональных данных может осуществляться исключительно в целях принятия решения о трудоустройстве, кадрового планирования, осуществления трудовых отношений, и в случаях, установленных законодательством Российской Федерации.
    • При определении объема и содержания обрабатываемых персональных данных общества с ограниченной ответственностью «Светлоградский маслоэкстракционный завод» (далее – ООО «СМЭЗ») необходимо руководствоваться Конституцией Российской Федерации от 25.12.1993, Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативно-правовыми актами Российской Федерации.
  2. Порядок хранения персональных данных
    • Хранение электронных носителей (дискет, дисков и т.п.), содержащих персональные данные, должно осуществляться в специальных папках, закрытых шкафах или сейфах, в порядке, исключающем доступ к ним третьих лиц.
    • Безопасность персональных данных при их обработке с использованием технических и программных средств обеспечивается с помощью системы защиты персональных данных, включающей в себя организационные меры и средства защиты информации, удовлетворяющие устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации.
    • Обработка персональных данных в ООО «СМЭЗ» осуществляется до утраты правовых оснований обработки персональных данных. Перечень нормативно-правовых актов, определяющих основания обработки персональных данных в ООО «СМЭЗ» определяются «Перечнем персональных данных в ООО «СМЭЗ».
    • По истечении срока хранения документы, либо иные материальные носители персональных данных должны быть уничтожены без возможности восстановления (например, в бумагорезательных машинах) с составлением акта. Для машинных носителей допускается гарантированное удаление информации методом многократной перезаписи с помощью специализированных программ без уничтожения материального носителя.
    • Обезличивания персональных данных в ООО «СМЭЗ» не предполагается.
  4. Состав персональных данных

 

3.1. В ООО «СМЭЗ»  обрабатываются персональные данные:

— сотрудников, членов их семей;

— бывшие сотрудники;

— близкие родственники сотрудника (супруг (-а), дети, родители);

— граждане Российской Федерации, организации и их законные представители.

 

3.2. В ООО «СМЭЗ»  к персональным данным сотрудников относятся следующие сведения:

— фамилия, имя, отчество;

— паспортные данные;

— дата и место рождения;

— гражданство;

— адрес проживания, регистрации;

— сведения о семейном положении;

— сведения о рождении детей;

— сведения о близких родственниках;

— сведения об образовании и  о повышении квалификации;

— сведения о трудовой деятельности;

— сведения о воинском учете;

— сведения о предыдущих местах работы (занимаемых должностях, выполняемых обязанностях, о периоде работы)

— номер страхового свидетельства государственного пенсионного страхования;

— ИНН;

— сведения об открытых банковских счетах;

— контактные данные;

— сведения о наличии водительских прав (категория, стаж);

— сведения о получении профессионального и дополнительного образования;

— сведения о состоянии здоровья и его соответствии выполняемой работе;

3.3. К документам (в бумажном и (или) электронном виде), содержащим персональные данные сотрудников ООО «СМЭЗ» относятся:

— паспорт или иной документ, удостоверяющий личность;

— свидетельство о постановке на учет в налоговом органе и присвоении ИНН;

— страховое пенсионное свидетельство;

— документ воинского учета;

— документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;

— заявление о приеме на работу;

— трудовой контракт (договор);

— приказы содержащие нормы трудового права;

— личная карточка сотрудника (форма Т-2);

— личное дело сотрудника;

— трудовая книжка;

— график отпусков (форма Т-7);

— заявление об увольнении;

— справка с места работы;

— справка о доходах физического лица Ф № 2-НДФЛ;

— список работников, подлежащих обязательному медицинскому страхованию;

— резюме;

— анкета;

— автобиография.

3.4. В ООО «СМЭЗ к персональным данным граждан Российской Федерации, обращающихся в ООО «СМЭЗ, относятся следующие сведения:

— паспортные данные

— фамилия, имя, отчество;

— год, месяц, дата и место рождения;

— адрес проживания, регистрации;

— контактные данные;

— сведения о трудовой деятельности;

— СНИЛС;

— ИНН;

— гражданство;

— номера банковских счетов.

2.5. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан Российской Федерации, организаций и их законных представителей обращающихся,  в ООО «СМЭЗ, относятся:

 – гражданско-правовые договора.

 

  1. Порядок работы со сведениями, содержащими персональные данные
    • При обработке персональных данных на бумажных документах, съёмных носителях (дискетах, дисках, флеш-носителях и т.п.), компьютерах и других технических средствах, сотрудники ООО «СМЭЗ» обязаны следить как за сохранностью самих бумажных документов, съёмных носителей и компьютеров, и других технических средств, так и за сохранностью содержащейся в них информации, а именно не допускать неправомерного ознакомления с ней лиц, не имеющих допуска к работе с персональными данными.
    • Допуск к персональным данным субъекта могут иметь только те сотрудники ООО «СМЭЗ», которым персональные данные необходимы в связи с исполнением ими своих трудовых обязанностей. Процедура оформления допуска к персональным данным представляет собой истребование с сотрудника «Обязательство о неразглашении конфиденциальной информации».
    • Каждый сотрудник должен иметь доступ к минимально необходимому набору персональных данных субъектов, необходимых ему для выполнения служебных (трудовых) обязанностей.
    • Сотрудникам, не имеющим надлежащим образом оформленного допуска, доступ к персональным данным субъектов запрещается.
    • Запрещается хранение или оставление бумажных документов и съёмных носителей, содержащих персональные данные, в виде, позволяющем осуществить визуальный просмотр содержащихся в них персональных данных, их фотографирование или несанкционированное создание копий. Напечатанные документы, содержащие персональные данные, должны изыматься из принтеров немедленно. Хранение бумажных документов и съёмных носителей, содержащих персональные данные, допускается только в специальных закрытых шкафах, сейфах и помещениях, к которым исключён доступ лиц, не допущенных к обработке соответствующих персональных данных.
    • Запрещается без прямой служебной необходимости делать выписки персональных данных, распечатывать документы с персональными данными или записывать персональные данные на съёмные носители.
    • Запрещается использовать для передачи персональных данных съёмные носители, не учтённые в «Журнале учета носителей персональных данных в ООО «СМЭЗ».
    • Запрещается выносить документы, съёмные носители или переносные компьютеры, содержащие персональные данные, за пределы служебных помещений ООО «СМЭЗ», если это не требуется для выполнения служебных (трудовых) обязанностей и если на это не дано разрешение заместителем генерального директора ООО «СМЭЗ» или ответственного за организацию обработки персональных данных.
    • Бумажные документы с персональными данными, у которых истёк срок хранения, лишние или испорченные копии документов с персональными данными, должны быть уничтожены без возможности их восстановления (например, в шредерах).
    • Большие объёмы бумажных документов с персональными данными, съёмные носители с персональными данными, а также встроенные в компьютеры носители с персональными данными должны уничтожаться под контролем ответственного за организацию обработки персональных данных, способом, исключающим дальнейшее восстановление информации.
    • Мониторы компьютеров, использующихся для обработки персональных данных, должны быть ориентированы таким образом, чтобы исключить визуальный просмотр информации с них лицами, не имеющими допуск к обработке персональных данных.
    • Категорически запрещается упоминать в разговоре с третьими лицами сведения, содержащие персональные данные.
    • Запрещается в нерабочее время или за пределами служебных помещений упоминать в разговоре с кем-либо, включая любых сотрудников ООО «СМЭЗ», сведения, содержащие персональные данные.
    • Запрещается обсуждать порядок доступа, места хранения, средства и методы защиты персональных данных с кем-либо, кроме ответственного за организацию обработки персональных данных, администратора безопасности информации, руководства, или лица, уполномоченного руководством на обсуждение данных вопросов.
    • Передавать персональные данные субъектов допускается только тем сотрудникам, которые имеют допуск к обработке персональных данных.
    • Предоставление персональных данных допускается в случаях передачи Федеральной налоговой службе, Пенсионному фонду России, «Банку» с целью начисления заработной платы, а также в иных случаях, установленных законодательством РФ.
    • Не допускается распространение персональных данных субъекта.
  3. Уничтожение документов, содержащих персональные данные

5.1. Уничтожение документов, содержащих персональные данные, в том числе черновиков, бракованных листов и испорченных копий, производиться назначенной комиссией с обязательной простановкой отметок об уничтожении в соответствующих учетных документах.

5.2. Порядок уничтожения черновиков, испорченных листов, неподписанных проектов документов, содержащих персональные данные:

а) черновики документов, испорченные листы, варианты и неподписанные проекты документов надрываются (возможно использование автоматических уничтожителей бумаги) и помещаются в урну (мешок).

б) по мере накопления содержимое урны (мешка) изымается работниками и уничтожается;

в) уничтожение документов, содержащих персональные данные, производится в строгом соответствии со сроками хранения;

г) разрешение на уничтожение дает комиссия;

д) при проведении экспертизы ценности документов перед их передачей на архивное состояние, отбор документов на уничтожение производит комиссия;

е) отобранные для уничтожения документы, содержащие персональные данные, вносятся в акт установленной формы, сверяются перед уничтожением работниками с учетными данными и уничтожаются;

ж) после уничтожения в учетных данных производятся отметки с указанием номера акта, даты уничтожения и подписи сотрудников, производивших уничтожение;

з) уничтожение документов, содержащих персональные данные, производиться путем их сожжения или измельчения или другим путем исключающим восстановление текста документов.

  1. Организация защиты персональных данных

6.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается ООО «СМЭЗ» за счет своих средств.

6.2. Защита персональных данных должна вестись по трём взаимодополняющим направлениям:

6.2.1. Проведение организационных мероприятий:

  • разработка и внедрение внутренних организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных субъектов, в том числе порядок доступа в помещения и к персональным данным;
  • организация учёта носителей персональных данных;
  • проведение обучения сотрудников вопросам защиты персональных данных.

6.2.2. Программно-аппаратная защита:

  • внедрение программно-аппаратных средств защиты информации, прошедших в соответствии с Федеральным законом №184 от 27.12.2002 г. «О техническом регулировании» оценку соответствия.

6.2.3. Инженерно-техническая защита:

  • установка сейфов или запирающихся шкафов для хранения носителей персональных данных;
  • установка усиленных дверей, сигнализации, режима охраны здания и помещений, в которых обрабатываются персональные данные.

6.3. Определение конкретных мер, общую организацию, планирование и контроль выполнения мероприятий по защите персональных данных осуществляет ответственный за организацию обработки персональных данных в соответствии с законодательством в области защиты персональных данных и локальными нормативно-правовыми актами ООО «СМЭЗ».

6.4. Организацию и контроль защиты персональных данных в структурных подразделениях ООО «СМЭЗ» осуществляют их непосредственные руководители.

  1. Заключительные положения
  2.  

7.1. Настоящее Правило утверждается руководителем и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным.

7.2. Все сотрудники ООО «СМЭЗ», участвующие в обработке персональных данных с использованием средств автоматизации, должны быть ознакомлены с настоящим Правилом под подпись.