МЕНЮ

Политика обработки персональных данных

1. Общие положения

 1.1. Настоящее Положение об обработке персональных данных в ОАО «Электроцинк» (далее — Положение) определяет порядок сбора, хранения, передачи, использования, уничтожения и любых других видов обработки персональных данных субъектов персональных данных в ОАО «Электроцинк».  

1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Закон), Постановлением Правительства Российской Федерации от 15.09.2007 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 01.11.2012 г.  № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Трудовым кодексом Российской Федерации, а также нормативными внутренними организационными документами Предприятия.  

1.3. Все работники Предприятия в соответствии со своими полномочиями владеющие, получающие и использующие информацию о субъектах персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение правил обработки и защиты этой информации. 

1.4. Неправомерность деятельности операторов персональных данных может быть установлена в судебном порядке по требованию субъектов персональных данных, а также в результате проверок регулирующих органов, проводимых на основании законодательства о защите персональных данных.

1.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.  

1.6. Все работники Предприятия, имеющие доступ к персональным данным субъектов персональных данных, в обязательном порядке ознакамливаются с настоящим Положением под роспись для последующего его исполнения.

2. Основные понятия, используемые в положении

Предприятие - ОАО «Электроцинк»  

Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. 

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. 

Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. 

Общедоступные персональные данные к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. 

Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных, ИСПДн обработки специальных категорий персональных данных (далее - ИСПДн-С).

К специальным категориям персональных данных относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. ИСПДн обработки персональных данных, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным (далее — ИСПДн-И).  

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

  3. Нормативно-методическая документация 

При определении порядка обработки персональных данных в ОАО «Электроцинк» использовалась следующая нормативная и методическая документация:

  • Конституция Российской Федерации;
  • Федеральный закон Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Указ Президента Российской Федерации от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Кодекс Российской Федерации об административных правонарушениях;
  • Уголовный кодекс Российской Федерации;
  • Нормативная документация ОАО «Электроцинк», в частности «Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных в ОАО «Электроцинк».

  4. Обработка персональных данных  

В ОАО «Электроцинк» обрабатываются персональные данные следующих категорий субъектов персональных данных: 

4.1. Персональные данные работников Предприятия.
При приеме на работу работником отдела кадров заполняется «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

  • общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
  • сведения о воинском учете;
  • данные о приеме на работу;
  • сведения о месте жительства и контактных телефонах.

В дальнейшем в личную карточку вносятся:

  • сведения о переводах на другую работу;
  • сведения об аттестации;
  • сведения о повышении квалификации;
  • сведения о профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения об отпусках;
  • сведения о социальных гарантиях.

Цели обработки персональных данных работников Предприятия:             

  • ведение регламентированного законодательством Российской Федерации кадрового учета работников Предприятия;
  • учет рабочего времени работников Предприятия;
  • расчет заработной платы работников Предприятия;
  • ведение налогового учета;
  • ведение воинского учета;
  • ведение учета акционеров и выплаты дивидендов;
  • предоставление в государственные органы регламентированной отчетности;
  • обязательное и добровольное медицинское страхование работников Предприятия;
  • архивное хранение данных;
  • содействие работнику в трудоустройстве, обучении, продвижении по службе.

Получение и обработка персональных данных работника должны осуществляться исключительно в указанных целях.
Получение и обработка персональных данных работника не должны ущемлять гарантированные ему Конституцией Российской Федерации права и свободы как гражданина Российской Федерации.

4.2. Персональные данные посетителей Предприятия. 

Целью обработки персональных данных посетителей Предприятия является обеспечение пропускного внутриобъектового режима на территории ОАО «Электроцинк».

4.3. Персональные данные контрагентов. 

Целью обработки персональных данных контрагентов Предприятия является:
- реализация уставных целей Предприятия;
- осуществление иных сделок в соответствии с законодательством Российской Федерации.
  
5. Принципы обработки персональных данных в ОАО «Электроцинк» 

  • Обработка персональных данных осуществляется на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.
  • Сбор, накопление, хранение, изменение, использование и распространение могут осуществляться только при условии письменного согласия физического лица, за исключением случаев, предусмотренных Федеральным законодательством.
  • Не допускается получение и обработка персональных данных работников и клиентов об их политических, религиозных и иных убеждениях, частной жизни, а также об их членстве в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
  • Согласно законодательству, сведения, содержащие персональные данные, относятся к информации с ограниченным доступом. На Предприятии разработан  перечень персональных данных  (Приложение А), а также  поддерживается соответствующая разрешительная система доступа работников к персональным данным.
  • Во всех случаях отказ работника от своих прав на сохранение и защиту персональных данных недействителен.

6. Порядок сбора и хранения персональных данных 

6.1. При сборе персональных данных Предприятие обязано предоставить физическому лицу (субъекту персональных данных) по его запросу информацию о целях и способах обработки его персональных данных, сведения о лицах, имеющих доступ к персональным данным, перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных. 

6.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. 

6.3. Персональные данные субъектов персональных данных могут обрабатываться как на бумажных носителях, так и в электронном виде.

7. Процедура получения персональных данных работников  

Информация, представляемая работником при поступлении на работу, должна иметь документальную форму. При заключении трудового договора
в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
  • документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • свидетельство о присвоении ИНН (при его наличии у работника).

В некоторых случаях, в зависимости от характера выполнения работы и конкретных должностных обязанностей, работник должен предоставить дополнительное документы, содержащие персональные данные работника и необходимые Предприятию для выполнения своих обязательств, как по отношению к работнику, так и к третьей стороне. 

Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. 

Предприятие должно сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

8. Требования при передаче и получении персональных данных субъекта персональных данных 

8.1. Передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных Федеральным законодательством, не допускается. Данное ограничение не распространяется на обмен персональными данными субъектов в порядке, установленном Федеральным законодательством. 

8.2. При предоставлении персональных данных на бумажных носителях третьим лицам в «Журнал учета выдачи персональных данных» (Приложения Б) вносятся записи о фактах выдачи персональных данных на бумажных носителях вне рамок процессов основной деятельности (по запросам). Регистрация фактов выдачи информации в рамках ведения основной деятельности  производится в соответствии с корпоративными правилами ведения делопроизводства. Доступ к персональным данным предоставляется только в соответствии с «Перечнем подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в ОАО «Электроцинк» (Приложение В). 

8.3. Передача персональных данных субъекта в коммерческих целях без его письменного согласия не допускается. 

8.4. Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности.

9. Порядок уничтожения и блокирования персональных данных 

9.1. Предприятие обязано прекратить обработку персональных данных и уничтожить их после достижения цели обработки или в случае отзыва субъектом персональных данных согласия  на обработку, за исключением случаев, когда уничтожение противоречит федеральному законодательству, а также  уведомить о своих действиях субъекта персональных данных и (или) уполномоченный орган. Во всех случаях предусмотрен срок уничтожения персональных данных - три рабочих дня. 

9.2. Временное  прекращение  операций по обработке персональных данных (блокирование) должно возникать по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

10. Защита персональных данных 

10.1. При обработке персональных данных Предприятие обязано принимать организационные и технические меры для защиты персональных данных от неправомерных действий в соответствии с требованиями, устанавливаемыми Правительством Российской Федерации и Федеральными законами. 

10.2. Работники  Предприятия, ответственные  за организацию защиты персональных данных, должны руководствоваться требованиями законодательства Российской Федерации и «Положением о порядке организации и проведения работ по обеспечению безопасности персональных данных в ОАО «Электроцинк»»  и  другими  нормативными и организационно -распорядительными документами. 

10.3. Защита персональных данных от неправомерного их использования или утраты обеспечивается Предприятием, в порядке, установленном федеральным законодательством и нормативными  Предприятия.
  
11. Доступ к персональным данным 

11.1. Организация доступа работников к персональным данным.

  • Работники Предприятия должны иметь доступ только к тем персональным данным, которые необходимы им для выполнения своих функциональных обязанностей.
  • На предприятии ведется «Перечень подразделений и работников, допущенных к работе с персональными данными, обрабатываемыми в ОАО «Электроцинк» (Приложение В).
  • Работники Предприятия допускаются к обработке персональных  данных  после ознакомления с правилами работы с персональными данными, а также с нормативной и организационно-распорядительной документацией Предприятия по защите персональных данных.
  • Доступ работников к обработке персональных данных осуществляется в соответствии с  «Перечнем  подразделений  и работников, допущенных к работе с персональными данными, обрабатываемыми в ОАО «Электроцинк»» (Приложение В) и другими нормативными и организационно-распорядительными документами Предприятия.
  • В случае обнаружения нарушений регламента обработки персональных данных работника, руководство  Предприятия  обязано приостановить  предоставление персональных данных пользователям до выявления и устранения причин нарушений.
  • К информационным системам персональных данных Предприятия имеют доступ подразделения и работники, допущенные к работе с персональными данными ОАО «Электроцинк»» (Приложение В).
  • Работники Предприятия имеют право на свободный бесплатный доступ к своим персональным данным, а также на получение копий любой из записей своих персональных данных.
  • Лица, не имеющие доступа к персональным данным и информационным системам персональных данных, могут быть допущены к ним с письменного разрешения Генерального директора ОАО «Электроцинк» или директора по безопасности ОАО.

11.2.   Организация доступа субъекту персональных данных 

Работники Предприятия должны предоставить персональные данные субъекту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам.

12. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

12.1.   Порядок сбора и хранения персональных данных без использования средств автоматизации.

  • Под обработкой персональных данных, осуществляемой без использования средств автоматизации, понимается использование, уточнение, распространение, уничтожение  персональных  данных, осуществляемые при непосредственном участии человека.
  • Персональные  данные при их обработке без  использования средств автоматизации должны фиксироваться  на отдельных материальных носителях в специальных разделах или на полях форм (бланков).
  • Для обработки  различных  категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель.
  • Работники, осуществляющие  обработку  персональных данных без использования средств автоматизации, должны быть проинформированы о категориях персональных данных, а также должны быть ознакомлены с нормативной и организационно - распорядительной документацией по защите персональных данных на Предприятии.
  • В типовых формах документов, предполагающих включение персональных данных  (далее - типовая форма), должны содержаться сведения о цели обработки персональных данных, сведения о Предприятии (наименование и адрес), сведения о субъекте персональных данных (фамилия, имя, отчество и адрес субъекта), сведения об источнике получения персональных данных, сведения о сроках обработки, перечень действий с персональными данными в процессе их обработки и описание способов такой обработки.
  • Типовая  форма  должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации и, при необходимости, получения письменного согласия на обработку персональных данных.
  • Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных.
  • В журналы (реестры, книги), необходимые для однократного пропуска субъекта персональных данных на территорию Предприятия, персональные  данные  могут заноситься не более одного раза в каждом случае пропуска. Копирование информации, содержащейся в таких журналах, не допускается.
  • При необходимости уничтожения или блокирования части персональных данных  уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
  • Уточнение персональных данных при их обработке на бумажном носителе должно производиться путем обновления или изменения персональных данных либо путем создания нового бумажного носителя с уточненными персональными данными.
12.2. Порядок уничтожения бумажных носителей после обработки персональных данных. 

  • Уничтожение или обезличивание части персональных данных может производиться способом, исключающим дальнейшую обработку этих персональных данных, с  сохранением возможности обработки  иных данных, зафиксированных на данном бумажном носителе. Например, путем удаления или вымарывания (если это допускается возможностями бумажного носителя) при этом сведения, не подлежащие уничтожению, должны быть предварительно скопированы.
  • Уничтожение документов, содержащих персональные данные, должно производиться в соответствии с  общим порядком  конфиденциального  уничтожения документов, установленным в ОАО «Электроцинк».
13.      Права и обязанности Предприятия 

13.1. В случае выявления недостоверных персональных данных или неправомерных действий с ними Предприятия, при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Предприятие обязано осуществить устранение допущенных нарушений или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган. 

13.2.   Должностные лица Предприятия, в обязанность которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом. 

13.3. В случае предоставлении субъектом фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Предприятие обязано внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных. 

13.4.   По запросу уполномоченного органа по защите прав субъектов персональных данных Предприятие обязано предоставить ему необходимую информацию. 

14.      Права и обязанности работников Предприятия 

14.1.   Права работника: 

  • В целях защиты своих персональных данных, хранящихся на Предприятии, работник имеет право:
  • Требовать исключения или исправления неверных или неполных персональных данных;
  • На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
  • Персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
  • Определять своих представителей для защиты своих персональных данных;
  • На сохранение и защиту своей личной и семейной тайны;
  • На обжалование в суде любых неправомерных действий или бездействия Предприятия при обработке и защите его персональных данных. 
14.2.   Обязанности работника 

  • Передавать Предприятию достоверные документы, содержащие персональные данные, состав которых установлен Трудовым кодексом Российской Федерации; 
  • Не предоставлять неверные персональные данные, а в случае изменений в персональных данных или обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), незамедлительно сообщить об этом  Предприятию;
  • Соблюдать режим конфиденциальности;
  • Не передавать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
  • Не передавать персональные данные субъекта третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;
  • Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
  • Во всех случаях отказ работника от своих прав на сохранение и защиту персональных данных недействителен.
15. Права субъектов персональных данных. 

15.1.   Получение сведений о Предприятии. 

Субъект персональных данных имеет право на получение сведений о Предприятии, о месте его нахождения, о наличии у Предприятия персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Предприятия уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  
15.2.      Доступ к своим персональным данным 

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Предприятием при личном обращении, либо при получении запроса субъекта персональных данных или его законного представителя. 

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • Подтверждение факта обработки персональных данных, а также цель такой обработки;
  • Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • Перечень обрабатываемых персональных данных и источник их получения;
  • Сроки обработки персональных данных, в том числе сроки их хранения;
  • Сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

16. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. 

16.1.Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут гражданскую, уголовную, административную, дисциплинарную и предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этой информации. 

16.2. Персональная ответственность работников Предприятия 

Работники  Предприятия, получающие доступ к персональным данным несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации. Кроме того, работники Предприятия, получающие для работы документы, содержащие персональные данные, несут персональную ответственность за их сохранность. 

В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой какие-либо финансовые потери для Предприятия, виновные работники обязаны возместить причиненный ущерб. 

17. Заключительные положения 

17.1. Настоящее Положение вступает в силу с момента его утверждения и действует до его отмены либо до замены его новым Положением. 

17.2. Изменения и дополнения к настоящему Положению утверждаются Генеральным директором Предприятия. 

17.3.   Если при изменении законодательства Российской  Федерации отдельные статьи Положения вступают в противоречие с ним, то эти статьи утрачивают силу, и до момента внесения изменений в документ работники

Предприятия руководствуются действующим законодательством Российской Федерации, при этом факт прекращения действия одного или нескольких пунктов не влияет на действие Положения в целом.
       
Перечень персональных данных, обрабатываемых в ИСПДн:
 

  • анкетные и биографические данные;
  • образование;
  • трудовой и общий стаж;
  • состав семьи;
  • паспортные данные;
  • воинский учет;
  • заработная плата сотрудника;
  • социальные льготы;
  • специальность;
  • занимаемая должность;
  • адрес места жительства, домашний телефон;
  • место учебы членов семьи;
  • содержание трудового договора;
  • подлинники и копии приказов по личному составу;
  • личные дела и трудовые книжки сотрудников;
  • иного рода информация, которая может нанести прямой  и косвенный ущерб сотрудникам предприятия.