ПОЛОЖЕНИЕ


О Персональных данных

Общества с ограниченной ответственностью

«Платежка»

1. Общие положения


1.1. Положение о персональных данных (далее — Положение) определяет условия и порядок обработки персональных данных, которую осуществляет ООО «Платежка» (далее — Оператор).


1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных (далее — Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), а также следующими нормативными правовыми актами:


— часть вторая Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее — часть вторая ГК РФ);


— Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ);


— часть первая Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ (далее — часть первая НК РФ);


— Федеральный закон «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ (далее — ФЗ «О бухгалтерском учёте»);


— постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;


— постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».


2. Организация обработки персональных данных


2.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.

2.2. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.


2.3. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.


2.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за организацию обработки персональных данных (далее — Ответственный).


2.5. Ответственный обязан:


— обеспечивать утверждение, приведение в действие, а также обновление в случае необходимости Политики, Положения и иных локальных актов по вопросам обработки персональных данных;


— обеспечить неограниченный доступ к Политике, копия которой размещается по адресу нахождения Оператора;


— проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;


— ежегодно проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;


— ежегодно осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, Политики, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных (далее — Нормативные акты);

— доводить до работников под роспись положения Нормативных актов при заключении трудового договора, а также по собственной инициативе;


— осуществлять допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;


— организовывать и контролировать приём и обработку обращений и запросов субъектов персональных данных, обеспечивать осуществление их прав;


— обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее — Роскомнадзор).


3. Обработка персональных данных работников


3.1. Оператор обрабатывает персональные данные работников Оператора в рамках правоотношений, урегулированных Трудовым Кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ), в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников.

3.2. Оператор не принимает решения, затрагивающие интересы работников, основываясь на их персональных данных, полученных электронным образом или исключительно в результате автоматизированной обработки.

3.3. Оператор защищает персональные данные работников за счет собственных средств в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами.

3.4. Оператор знакомит работников и их представителей под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.5. Оператор разрешает доступ к персональным данным работников только допущенным лицам, которые имеют право получать только те данные, которые необходимы для выполнения их функций.

3.6. Оператор получает все персональные данные работников у них самих. Если данные работника возможно получить только у третьей стороны, Оператор заранее уведомляет об этом работника и получает его письменное согласие. Оператор сообщает работнику о целях, источниках, способах получения, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

3.7. Оператор обрабатывает персональные данные работников в течение срока действия трудового договора. Оператор обрабатывает персональные данные уволенных работников в течение срока, установленного п. 5 ч. 3 ст. 24 части первой Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ, ч. 1 ст. 29 Федерального закона «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ и иными нормативными правовыми актами.

3.8. Оператор не обрабатывает биометрические персональные данные работников.

3.9. Оператор не получает данные о членстве работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

3.10. Оператор обрабатывает следующие категории персональных данных работников: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; тип, серия и номер документа, удостоверяющего личность; дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; номер контактного телефона; номер СНИЛС; ИНН; расчетный счет; должность; данные о социальных льготах; данные полиса ОМС; сведения о доходах; сведения о налоговых вычетах; сведения о пребывании за границей; сведения о воинском учете; табельный номер; трудовой стаж; фотография; гражданство; УИН или иной уникальный идентификатор; лицевой счет; адрес электронной почты; номер договора; должность; данные водительского удостоверения; свидетельство о браке; свидетельство о рождении ребенка; сведения о несудимости; иные идентификаторы.

3.11. Оператор не сообщает третьей стороне персональные данные работника без его письменного согласия, кроме случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ, ФЗ «О персональных данных» или иными федеральными законами.

3.12. Оператор не сообщает персональные данные работника в коммерческих целях без его письменного согласия.

3.13. Оператор передаёт персональные данные работников их представителям в порядке, установленном ТК РФ, ФЗ «О персональных данных» и иными федеральными законами, и ограничивает эту информацию только теми данными, которые необходимы для выполнения представителями их функций.

3.14. Оператор предупреждает лиц, получающих персональные данные работника, что эти данные могут быть использованы только в целях, для которых они сообщены, требует от этих лиц подтверждения, что это правило соблюдено.

3.15. В порядке, установленном законодательством, и в соответствии со ст. 7 ФЗ «О персональных данных» для достижения целей обработки персональных данных и с согласия работников Оператор предоставляет персональные данные работников или поручает их обработку следующим лицам:

— Государственные органы (ПФР, ФНС, ФСС и др.);

— Банк (в рамках зарплатного проекта).

3.16. Работник может получить свободный бесплатный доступ к информации о его персональных данных и об обработке этих данных. Работник может получить копию любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом.

3.17. Работник может определить представителя для защиты его персональных данных.

3.18. Работник может требовать исключить или исправить свои неверные или неполные персональные данные, а также данные, обработанные с нарушением требований ТК РФ, ФЗ «О персональных данных» или иного федерального закона. При отказе Оператора исключить или исправить персональные данные работника он может заявить в письменной форме о своем несогласии и обосновать такое несогласие. Работник может дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения.

3.19. Работник может требовать известить всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

3.20. Работник может обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите его персональных данных.


4. Обработка персональных данных клиентов


4.1. Оператор обрабатывает персональные данные клиентов в рамках правоотношений, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ, (далее — клиентов).

4.2. Оператор обрабатывает персональные данные клиентов с их согласия, предоставляемого либо в письменной форме, либо при совершении конклюдентных действий.

4.3. Оператор обрабатывает персональные данные клиентов не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено требованиями законодательства РФ.

4.4. Оператор обрабатывает следующие персональные данные клиентов: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; тип, серия и номер документа, удостоверяющего личность; дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе; номер контактного телефона; номер СНИЛС; ИНН; расчетный счет; фотография; УИН или иной уникальный идентификатор; адрес электронной почты; номер договора.


5. Обеспечение безопасности персональных данных


5.1. Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.2. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) Оператором применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.

5.3. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе Оператора.

5.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных в информационной системе.

5.5. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:


— выполнять определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;


— обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе Оператора;


— устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивать регистрацию и учёт всех действий с ними;


— организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.


6. Осуществление прав субъектов персональных данных


6.1. При обращении субъекта персональных данных или при получении его запроса (далее — Обращение) Ответственный обеспечивает предоставление субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с даты Обращения.

6.2. Оператор принимает обращения клиентов в соответствии с инструкцией по рассмотрению обращений субъектов персональных данных.

6.3. При наличии законных оснований для отказа в предоставлении субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными Ответственный обеспечивает направление субъекту персональных данных мотивированного ответа в письменной форме, содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в течение 30 дней с даты Обращения.


6.4. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменений в персональные данные в течение 7 рабочих дней с даты Обращения.


6.5. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственный обеспечивает уничтожение таких персональных данные в течение 7 рабочих дней с даты Обращения.


6.6. Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.


6.7. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».


7. Взаимодействие с Роскомнадзором


7.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.

7.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных, или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.

7.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

7.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой Оператором.


8. Ответственность за нарушение порядка обработки и обеспечения безопасности персональных данных


8.1. В случае нарушения работником положений законодательства в области персональных данных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90 ТК РФ.

8.2. В случае разглашения работником персональных данных, ставших ему известными в связи с исполнением его трудовых обязанностей, трудовой договор с ним может быть расторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.