Наружная реклама / Положение о персональных данных
СОДЕРЖАНИЕ
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1.Цели положения
II. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Основные понятия
2.2. Состав персональных данных
III. СБОР, ОБРАБОТКА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Порядок получения персональных данных
3.2. Порядок сбора и обработки персональных данных работников организации
3.3. Порядок сбора и обработки персональных данных Пользователей сайта avsar.ru.
3.4. Особый порядок сбора и обработки персональных данных клиентов, контрагентов, поступающих на любой электронный адрес Организации
IV. ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Требования при передаче персональных данных
4.2. Хранение и использование персональных данных
V. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Доступ к персональным данным
VI. ЗАЩИТА И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Защита персональных данных
6.2. Уточнение, блокирование и уничтожение персональных данных
VI ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Ответственность
VII ПРИЛОЖЕНИЯ
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Цели положения
1.1.1. Настоящее Положение обработке персональных данных (далее—«Положение») разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных»
1.1.2. Цель разработки Положения — определение порядка обработки персональных данных работников, клиентов и контрагентов РА "АВАНТ"; обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных; установление режима конфиденциальности персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. Персональные данные клиентов и иных контрагентов РА "АВАНТ" могут обрабатываться только для целей, непосредственно связанных с деятельностью Организации, в частности, для оказания рекламных, информационных услуг и иных услуг, оказываемых РА "АВАНТ". РА "АВАНТ" собирает персональные данные только в объеме, необходимом для достижения названных целей.
1.1.3. Порядок ввода в действие и изменения Положения. Настоящее Положение вступает в силу с момента его утверждения руководителем РА "АВАНТ" и действует бессрочно, до замены его новым Положением. Все изменения в Положение вносятся приказом.
1.1.4. Все работники РА "АВАНТ" должны быть ознакомлены с настоящим Положением под роспись.
1.1.5. Настоящее Положение является обязательным для исполнения всеми работниками Организации.
1.1.6. Режим конфиденциальности персональных данных снимается в случаях их обезличивания; включения персональных данных в общедоступные источники персональных данных; по истечении 75(Семидесяти пяти) лет срока их хранения или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом, для некоторых персональных данных срок и режим конфиденциальности устанавливается трудовым договором с работником РА "АВАНТ".
II. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Основные понятия
2.1.1.Для целей настоящего Положения используются следующие основные понятия:
2.2. Состав персональных данных
2.2.1. В состав персональных данных, обрабатываемых Организацией, входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, анкетные и биографические данные, сведения о стаже по специальности, о предыдущих местах их работы (резюме), иная информация, которую субъекты персональных данных добровольно сообщают о себе для описания своих профессиональных навыков и деловых качеств, если ее обработка не запрещена законодательством Российской Федерации, а также комплект документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.
III. СБОР, ОБРАБОТКА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Порядок получения персональных данных
3.1.1. Все персональные данные следует получать у самого субъекта персональных данных.
3.1.2. Организация не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни субъекта персональных данных только с его письменного согласия.
3.1.3. Обработка персональных данных Организацией допускается в следующих случаях:
3.1.4. В соответствии с действующим законодательством Российской Федерации, в целях обеспечения прав и свобод человека и гражданина Генеральный директор Организации и его представители при обработке персональных данных субъекта персональных данных должны соблюдать следующие общие требования:
3.2. Порядок сбора и обработки персональных данных работников Организации
3.2.1. Сбор и обработка персональных данных работников Организации осуществляется после подписания работником Согласия на получение и обработку персональных данных. Форма (Образец) Согласия на обработку персональных данных работника является Приложением № 1 к настоящему Положению. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работникам отдела кадров Организации следующие документы:
3.2.2. При оформлении работника в Организацию работником отдела кадров заполняется унифицированная форма Т – 2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
3.2.3. В отделе кадров Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
3.2.4. Работник Организации предоставляет в отдел кадров Организации достоверные сведения о себе. Работник отдела кадров Организации проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
3.2.5. Работники ставят Организацию в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.
3.3. Порядок сбора и обработки персональных данных Пользователей на сайте avsar.ru (Далее Сайт).
3.3.1. Пользователь сайта avsar.ru
3.3.3. Организация обрабатывает персональные данные Пользователей только при наличии хотя бы одного из следующих условий:
3.3.4. Все персональные данные Пользователя Сайта следует получать согласно п.3.1.1 настоящего Положения. Персональные данные субъектов должны быть получены у самих субъектов после принятия ими Согласия на обработку персональных данных. Форма (Образец) Согласия на обработку персональных данных «Соискателя» является Приложением № 2 к настоящему Положению. Форма (Образец) Согласия на обработку персональных данных «Карьериста» является Приложением № 3 к настоящему Положению.
3.3.6. Согласие на обработку персональных данных включает в себя, но не ограничиваясь:
3.4. Особый порядок сбора и обработки персональных данных Пользователей, поступающих на любой электронный адрес Организации.
3.4.1. Пользователи самостоятельно принимают решение о предоставлении своих Персональных данных и предоставляют согласие на обработку таких Персональных данных свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано путем совершения определенных действий, а именно: направления Персональных данных на любой электронный адрес Организации (в том числе указанный на одном из сайтов Сети).
3.4.2. В связи с возможностью получения Организацией Персональных данных на любой электронный адрес Организации, Организация обязана информировать Пользователя о том, что направляя информацию, содержащую Персональные данные, включая но не ограничиваясь:
такие лица подтверждают, что ознакомлены с настоящем Положением об обработке персональных данных и выражают свое полное согласие на обработку представленных ими Персональных данных Организацией и ее аффилированными лицами в целях предоставления каких-либо услуг, связанных с деятельностью Организации, а также в целях возможного дальнейшего трудоустройства, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, а также осуществление любых действий с персональными данными с учетом действующего законодательства Российской Федерации, совершаемых с использованием средств автоматизации или без использования таких средств.
3.4.3. В связи с вышеуказанным, Организация обязана разместить для вышеназванных Пользователей Уведомление об обработке Персональных данных по форме Приложения № 4 к настоящему Положению об обработке персональных данных, поступающих на любой электронный адрес Организации, на официальном сайте Организации - http://www.edumarket.ru/, а также направлять Уведомление об обработке Персональных данных по форме Приложения № 4 к настоящему Положению об обработке персональных данных в ответ на письмо каждого кандидата (клиента, контрагента), содержащее Персональные данные в случае поступления таких писем на любой электронный адрес Организации.
IV. ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Требования при передаче персональных данных
4.1.1. При передаче персональных данных Организация должна соблюдать следующие требования:
V. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Доступ к персональным данным
5.1.1. Субъекты персональных данных, персональные данные которых обрабатываются Организацией, имеют право:
При этом Организация обязана предоставлять выше указанную информацию в течение 10 (Десяти) рабочих дней с момента поступления соответствующего запроса. Такой запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в письменной или электронной форме и подписан электронно-цифровой подписью в соответствии с законодательством Российской Федерации.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных или его законному представителю в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
5.1.2. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях или в целях исполнения договоров (соглашений) Организации.
VI. ЗАЩИТА И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Защита персональных данных
6.1.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
6.1.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
6.1.3. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
6.1.4. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Организации.
6.1.5. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Организацией за счет собственных средств в порядке, установленном федеральным законом.
6.1.6.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты персональных данных в Организации.
6.1.6.2. Для обеспечения внутренней защиты персональных данных необходимо соблюдать ряд мер:
6.1.7. Защита персональных данных на электронных носителях.
6.1.7.1. Базы данных, содержащие персональные данные, должны быть защищены паролем и иными средствами защиты, предусмотренными законодательством Российской Федерации.
6.1.7.2. Вход работника в базу данных Общества под индивидуальным логином и паролем для целей настоящего Положения признается предоставлением персональных данных.
6.1.7.3. Вход в базу данных работником может быть доступен только после предварительного ввода индивидуального логина и пароля. При этом пароль для авторизации должен отвечать следующим требованиям:
6.1.8.1. Для внешней защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
6.1.8.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Организации.
6.1.8.3. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в Организации. Работники Общества несут ответственность за допуск в офис посторонних лиц, проведения этими лицами осмотров, фото - и видео - съемок объектов, находящихся в офисе, за допуск этих лиц к персональным компьютерам и сетевым программам.
6.1.8.4. Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер:
6.1.8.5. По возможности персональные данные обезличиваются.
6.1.8.6. В случае необходимости предоставления персональных данных любым третьим лицам, такое предоставление персональных данных осуществляется исключительно на основании соответствующих соглашений о защите и конфиденциальности персональных данных, которые должны обеспечивать уровень защиты персональных данных не ниже уровня защиты, предусмотренного настоящим Положением и действующим законодательством Российской Федерации.
6.1.8.7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
6.1.8.8. Организация в праве применять методы технической защиты и иные методы, предусмотренные для защиты Коммерческой тайны Организации, не противоречащие законодательству Российской Федерации.
6.2. Уточнение, блокирование и уничтожение персональных данных
6.2.1. Блокирование информации, содержащие персональные данные, производится в случае:
6.2.2. В случае подтверждения факта недостоверности персональных данных Организация на основании документов, представленных субъектом персональных данных, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязана уточнить персональные данные и снять их блокирование.
6.2.3. В случае выявления неправомерных действий с персональными данными Организация обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Организация в срок, не превышающий 3 (Трех) рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные.
6.2.4. Об устранении допущенных нарушений или об уничтожении персональных данных Организация обязана уведомить субъекта персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.2.5. Организация обязана уничтожить персональные данные в случае:
6.2.6. Уничтожение персональных данных должно быть осуществлено в течение 3 (Трех) рабочих дней с даты наступления указанных в п. 6.2.5.Положения случаев. Соглашением между Организацией и субъектом персональных данных могут быть установлены иные сроки уничтожения персональных данных при достижении цели обработки персональных данных.
VII. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
7.1.2. Каждый работник Организации, получающий для работы конфиденциальный документ, содержащий персональные данные субъектов персональных данных, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
7.1.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами Российской Федерации и настоящим Положением.
7.1.3.1. Административная ответственность.
В соответствии со ст. 13.14 Кодекса Российской Федерации об административных правонарушениях разглашение персональных данных (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к персональным данным в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на должностных лиц в размере от четырех до пяти тысяч рублей.
7.1.3.2. Дисциплинарная ответственность.
Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности. Согласно пп. "в" п. 6 ч. 1 ст. 81 Трудового кодекса Российской Федерации трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных.
7.1.3.3. Уголовная ответственность.
В соответствии со ст. 137Уголовного кодекса Российской Федерации незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказываются штрафом в сумме до двухсот тысяч рублей
или в размере заработной платы либо иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. Часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в сумме от ста тысяч до трехсот тысяч рублей или в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
7.1.3.4. Материальная ответственность.
Трудовым кодексом Российской Федерации предусмотрена материальная ответственность за виновное нарушение норм, регулирующих получение, обработку и защиту персональных данных работников. Так, в результате незаконного распространения информации о персональных данных работника последнему может быть причинен моральный вред, подлежащий возмещению работодателем. В соответствии со ст. 238 Трудового кодекса Российской Федерации работник обязан возместить Организации причиненный последнему прямой действительный ущерб. Согласно ч. 2 указанной статьи под прямым действительным ущербом также понимается необходимость возмещения ущерба третьим лицам. Следовательно, если вред работнику был допущен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнее к материальной ответственности за ущерб, который был нанесен работнику такими действиями.
Вы подтверждаете, что ознакомлены с Положением об обработке персональных данных avsar.ru и выражаете свое полное согласие на обработку представленных Вами Персональных данных Организацией и ее аффилированными лицами в целях предоставления каких-либо услуг, связанных с деятельностью Организации, а также в целях возможного дальнейшего трудоустройства, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, а также осуществление любых действий с персональными данными с учетом действующего законодательства Российской Федерации, совершаемых с использованием средств автоматизации или без использования таких средств. В случае, если Вы не согласны с обработкой Ваших персональных данных, просим Вас связаться с нами по телефонам указанным на сайте