Положение о защите персональных данных

  1. Общие положения

 

1.1. Настоящим Положением определяется порядок обработки персональных данных ООО «Тандур» (далее — Общество).

1.2. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

1.3. Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:

– персональные данные работников Общества – информация, необходимая ООО «Тандур» в связи с трудовыми отношениями;

– персональные данные клиентов, партнеров, контрагентов, а также сотрудников юридического лица, являющегося клиентом или контрагентом Общества – информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений;

– персональные данные иных лиц (курьеры, представители обслуживающих организаций и др.) – информация, необходимая Обществу для реализации своих прав и законных интересов в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами.

1.4. Обработка персональных данных в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Общества и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

– обработке подлежат только персональные данные, которые отвечают целям их обработки;

– не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

– содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;

– хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом либо договором, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

– право доступа для обработки персональных данных имеют сотрудники Общества в соответствии с возложенными на них функциональными обязанностями;

– обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.5. Целями обработки персональных данных являются:

– регулирование трудовых отношений с работниками Общества;

– предоставление работникам Общества и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

– подготовка, заключение, исполнение и прекращение гражданско-правовых договоров с контрагентами;

– реализация прав и законных интересов Общества в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Общества, или третьих лиц либо достижения общественно значимых целей;

– иные цели, связанные с проведением исследований, маркетинговых активностей, поддержки обратной связи при обращении через сайт Общества в сети Интернет https://mytandoor.ru/

1.6. Обработка персональных данных в Обществе допускается, если она:

– осуществляется с согласия субъекта персональных данных;

– необходима для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

– необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

– необходима для осуществления прав и законных интересов Общества при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

 

  1. Основные понятия. Состав персональных данных работников

 

2.1. Для целей настоящего Положения используются следующие основные понятия:

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

— обработка персональных данных работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

— распространение персональных данных — действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

— предоставление персональных данных — действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

— блокирование персональных данных — временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ).

2.2. Если иное не установлено Трудовым кодексом РФ, другими федеральными законами, при заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:

— паспорт или иной документ, удостоверяющий личность;

— трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой, повреждением или по другим причинам;

— страховое свидетельство обязательного пенсионного страхования;

— документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;

— документ об образовании и (или) квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;

— справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к выполнению которой в соответствии с Трудовым кодексом РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию) (п. п. 14, 15 Административного регламента, утвержденного Приказом МВД России от 07.11.2011 N 1121);

справку, выданную органами МВД России, о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ, — при поступлении на работу, к которой в соответствии с федеральными законами не допускаются лица, подвергнутые такому наказанию до окончания срока, в течение которого они считаются подвергнутыми административному наказанию (п. п. 14, 15 Административного регламента, утвержденного Приказом МВД России от 24.10.2016 N 665);

— дополнительные документы — в отдельных случаях, предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.

2.3. В отделе кадров Общества создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

2.3.1. Документы, содержащие персональные данные работников:

— комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

— комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;

— подлинники и копии приказов (распоряжений) по кадрам;

— личные дела и трудовые книжки;

— дела, содержащие материалы аттестаций работников;

— дела, содержащие материалы внутренних расследований;

— справочно-информационный банк данных по персоналу (картотеки, журналы);

— подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений;

— копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

2.3.2. Документация по организации работы структурных подразделений:

— положения о структурных подразделениях;

— должностные инструкции работников;

— приказы, распоряжения, указания руководства Общества;

— документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

  1. Обработка персональных данных работников

 

3.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.

3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

3.4. Обработка персональных данных работников работодателем возможна только с их согласия. Исключения составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований, перечисленных в п. п. 211 ч. 1 ст. 6, п. п. 210 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ).

3.5. Письменное согласие работника на обработку своих персональных данных должно включать в себя, в частности, сведения, указанные в п. п. 19 ч. 4 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ.

3.6. Работник Общества представляет в отдел кадров достоверные сведения о себе. Отдел кадров проверяет достоверность сведений.

3.7. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать, в частности, следующие общие требования:

3.7.1. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.7.2. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.7.3. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

3.7.4. Работники и их представители должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.7.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

 

  1. Передача персональных данных

 

4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом РФ или иными федеральными законами.

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное правило не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

4.1.4. Осуществлять передачу персональных данных работников в пределах Общества в соответствии с настоящим Положением, с которым работники должны быть ознакомлены под подпись.

4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

4.2. Персональные данные работников обрабатываются и хранятся в отделе кадров.

4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных (электронных) носителях, так и в электронном виде (посредством локальной компьютерной сети).

4.4. При получении персональных данных не от работника (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

— наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

— цель обработки персональных данных и ее правовое основание;

— предполагаемые пользователи персональных данных;

— установленные Федеральным законом от 27.07.2006 N 152-ФЗ права субъекта персональных данных;

— источник получения персональных данных.

 

  1. Доступ к персональным данным работников

 

5.1. Право доступа к персональным данным работников имеют:

— руководитель Общества;

— работники отдела кадров;

— работники бухгалтерии;

— начальник отдела экономической безопасности (информация о фактическом месте проживания и контактные телефоны работников);

— работники секретариата (информация о фактическом месте проживания и контактные телефоны работников);

— начальник отдела внутреннего контроля (доступ к персональным данным работников в ходе плановых проверок);

— руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).

5.2. Работник Общества, в частности, имеет право:

5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.

5.2.2. Требовать от работодателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.2.3. Получать от работодателя сведения о наименовании и месте нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.

5.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.

5.3. Сотрудники Общества, допущенные к обработке персональных данных, обязаны:

– знать и неукоснительно выполнять требования настоящего Положения;

– обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

– не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей;

–  пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;

– выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;

– хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами  Общества.

5.4. Сотрудникам Общества, допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.

5.5. Каждый новый работник Общества, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ в области защиты персональных данных, с настоящим Положением и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

5.6. Лица, виновные в нарушении требований законодательства РФ в области защит персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством.

 

  1. Права субъекта персональных данных

 

6.1. Субъекты персональных данных имеют право на:

– полную информацию об их персональных данных, обрабатываемых в Обществе;

– доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;

– уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

– отзыв согласия на обработку персональных данных;

– принятие предусмотренных законом мер по защите своих прав;

– обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства РФ в области защиты персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

– осуществление иных прав, предусмотренных законодательством РФ.

 

  1. Порядок уничтожения, блокирования персональных данных

 

7.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных, Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения.

7.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных, Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

7.3. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных, или иных необходимых документов, Общество уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

7.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.

7.5. Если обеспечить правомерность обработки персональных данных невозможно, то Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные.

7.6. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных.

7.7. В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором.

7.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, обязано уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором.

7.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 7.4-7.8 настоящего Положения, Общество осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

 

  1. Ответственность за нарушение норм, регулирующих

обработку персональных данных

 

8.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

8.2. Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.

  1. Заключительные положения

 

9.1. Действующая редакция Положения на бумажном носителе хранится по месту нахождения Общества.

9.2. Электронная версия действующей редакции Положения общедоступна на сайте Общества с ограниченной ответственностью «Тандур» в сети Интернет https://mytandoor.ru/

© 1994-2019 Tandoor Indian restaurant. All rights reserved