Политика конфиденциальности

УТВЕРЖДАЮ:
ИП Цуканова Эльвира Олеговна
________________
«17» января 2024 г.
Политика конфиденциальности
1. Общие положения
1.1. Настоящее Положение принято ИП Цуканова Эльвира Олеговна, в лице Цукановой Эльвиры Олеговны, действующего на основании ОГРНИП 306250813200012 (далее - Организация) для обеспечения сохранности и конфиденциальности персональных данных работников и клиентов Организации в соответствии с требованиями действующего законодательства Российской Федерации, а также в целях регламентации порядка работы с персональными данными работников и клиентов Организации.
1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", законодательными актами Российской Федерации.
1.3. Настоящее Положение обязательно для соблюдения всеми работниками Организации.
1.4. Настоящее Положение вступает в действие с момента утверждения его приказом руководителя Организации и действует до утверждения нового положения.
1.5. Все изменения и дополнения к настоящему Положению должны быть утверждены приказом руководителя Организации.
1.6. Основные понятия, используемые в настоящем Положении:
1.6.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.6.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.6.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования.
1.6.4. Субъекты персональных данных: работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников; клиенты и контрагенты оператора (физические лица); представители/работники клиентов и контрагентов оператора (юридических лиц).
1.6.5. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
2. Критерии отнесения информации к персональным данным
2.1. К персональным данным относятся любая информация о работнике и клиенте, в том числе Ф.И.О., дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов.
2.2. Достоверность персональных данных определяется исходя из их изначального размещения в таких документах, как:
- паспорт или иной источник, удостоверяющий личность;
- трудовая книжка и/или сведения о трудовой деятельности (за исключением тех случаев, когда Организация является для работника первым работодателем);
- свидетельство пенсионного страхования;
- военный билет и иные документы воинского учета;
- диплом об образовании;
- свидетельство о наличии ИНН.
Отдельным приказом руководителя Организации могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.
2.3. Отдел кадров, юридическая служба и/или отдел по работе с клиентами обеспечивают проверку вышеперечисленных документов, содержащих персональные данные, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.
3. Операции с персональными данными
3.1. Настоящее Положение устанавливает, что Организацияосуществляет следующие операции с персональными данными работников:
- получение (сбор);
- обработка;
- передача;
- блокирование;
- хранение;
- ликвидация.
3.2. Под получением (сбором) персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах.
3.3. Под обработкой персональных данных понимается прочтение, корректировка или дополнение соответствующих данных, совершаемые уполномоченным лицом Организации.
Цели обработки персональных данных: Оформление трудовых отношений, ведение кадрового и бухгалтерского учёта, оформление гражданско-правовых отношений для организации.
3.4. Под передачей персональных данных понимается операция:
- по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют работники Организации либо третьи лица;
- по размещению персональных данных в источниках внутрикорпоративного документооборота;
- по опубликованию в интересах Организации персональных данных о работнике в СМИ или на серверах Интернета в соответствии с нормами законодательства Российской
Федерации.
3.5. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах Организации, в случаях, предусмотренных положениями локальных правовых актов Организации и законодательства Российской Федерации.
3.6. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных посредством их размещения в информационных системах Организации.
3.7. Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем Организации, а также обеспечению невозможности их восстановления.
4. Порядок осуществления операций с персональными данными
4.1. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от работника Организации. В случае если предоставление соответствующих данных возможно только от третьих лиц, то работник должен дать письменное согласие на это.
4.2. Организация не имеет права требовать и получать персональные данные работника и клиента, отражающие личные аспекты его жизни, религиозные, политические, философские взгляды.
4.3. Обработка персональных данных работника и клиента может осуществляться только с его письменного согласия, за исключением тех случаев, что предусмотрены пп. 2 - 11 п. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
4.4. Передача персональных данных клиента осуществляется с учетом специфики конкретной информационной системы:
- в цифровой информационной системе (предназначенной для автоматизированной обработки персональных данных) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;  - посредством внешней формы сбора системой YCLIENTS , предназначенной для автоматизированной записи клиента, обработки персональных данных передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;
- в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Организации, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным правовым актом.
4.5. Блокирование персональных данных в Организации осуществляется с учетом специфики конкретной информационной системы:
- в цифровой информационной системе блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты;
- в информационной системе на основе бумажных носителей блокирование данных осуществляется посредством закрытия доступа к соответствующей информационной системе для определенных групп работников.
4.6. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы:
- в цифровой информационной системе хранение данных осуществляется на ПК отдела кадров Организации;
- в информационной системе на основе бумажных носителей хранение данных осуществляется в архиве отдела кадров.
4.7. Ликвидация персональных данных осуществляется с учетом специфики конкретной
информационной системы:
- в цифровой информационной системе ликвидация данных осуществляется посредством их удаления с ПК отдела кадров Организации, а также серверов;
- в информационной системе на основе бумажных носителей ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.
5. Организация доступа к персональным данным
5.1. Доступ к персональным данным работников Организации, не требующий подтверждения и не подлежащий ограничению, имеют:
- руководитель Организации, а также работники его секретариата;
- работники отдела кадров Организации;
- работники бухгалтерии Организации;
- работники, предоставившие Организации свои персональные данные;
- руководители отделов экономической безопасности, внутреннего контроля, непосредственные руководители работников, предоставивших Организации свои персональные данные.
5.2. Доступ к персональным данным работников Организации для иных лиц может быть разрешен только отдельным распоряжением руководителя.
6. Обязанности работников, имеющих доступ
к персональным данным
6.1. Работники Организации и другие лица, имеющие доступ к персональным данным, обязаны:
- осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, а также действующим законодательством Российской Федерации;
- информировать своего непосредственного руководителя и руководителя Организации о нештатных ситуациях, связанных с операциями с персональными данными;
- обеспечивать конфиденциальность операций с персональными данными;
- обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.
7. Права работников в части осуществления операций
с персональными данными
7.1. Работник и клиент Организации, передавший Организации свои персональные данные, имеет право:
- на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;
- на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;
- требовать от Организации дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам работника и клиента,
осуществляются незаконно, а также в случае, если персональные данные недостоверны;
- получать от Организации информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;
- получать от Организации информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе Организации.
7.2. Работники Организации, имеющие доступ к персональным данным работников и клиентов Организации , имеют право:
- на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;
- получение консультационной поддержки со стороны руководства и других компетентных работников в части осуществления операций с персональными данными;
- отдачу распоряжений и направление предписаний работникам, передающим персональными данные Организации, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.
8. Ответственность работников за нарушения
правил осуществления операций с персональными данными
8.1. Работники и клиенты Организации при осуществлении операций с персональными данными несут административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением, а также нормами федерального, регионального и муниципального законодательства Российской Федерации.
8.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм Организации, а также положений законодательства Российской Федерации.