Положение о защите персональных данных работников ООО «АртСевер»

1. Общие положения

1.1. Целью настоящего Положения является утверждение порядка и условий получения, обработки, хранения, передачи и защиты персональных данных работников ООО «АртСевер», именуемого далее по тексту Общество.

1.2. Настоящее Положение разработано в соответствии с:

• Трудовым кодексом Российской Федерации;
• Федеральным законом от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных»;
• Указом Президента Российской Федерации от 06.03.1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»;
• Постановлением Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановлением Правительства Российской Федерации от 6.07.2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• Постановлением Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановлением Правительства Российской Федерации от 29.06.2021 года № 1046 «Об утверждении Положения о федеральном государственном контроле (надзоре) за обработкой персональных»;
• Приказом ФСТЭК России № 151, ФСБ России № 786, Мининформсвязи России № 461 от 31.12.2013 года «О признании утратившим силу приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
• Приказом ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказом Роскомнадзора от 05.09.2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти, локальными нормативными актами Общества.

1.3. Положение о защите персональных данных работников утверждается директором Общества, распространяется на всех работников Общества и является обязательным для исполнения как со стороны работников, так и со стороны работодателя.

2. Понятие и состав персональных данных работника

2.1. Под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника (субъекта персональных данных), позволяющие идентифицировать его личность. Персональные данные являются конфиденциальной, строго охраняемой информацией.

Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Информация, сведения (сообщения, данные) независимо от формы их представления.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В отношении работников Общества оператором выступает ООО «АртСевер» в лице уполномоченных должностных лиц.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.2. Состав персональных данных Работника

Перечень персональных данных, обрабатываемых в ООО «АртСевер», определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки персональных данных.

К персональным данным работников, запрашиваемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством, в том числе относятся следующие сведения:

• анкетные и биографические данные;
• резюме соискателя на должность, рекомендации с прежних мест работы;
• сведения об образовании;
• трудовая книжка и вкладыши в нее и (или) сведения о трудовой деятельности (СТД-Р или СТД-ПФР);
• сведения о предыдущем месте работы;
• сведения о составе семьи;
• специальность и квалификация;
• занимаемая должность;
• паспортные данные;
• сведения о воинском учете;
• наличие судимостей (в случаях, предусмотренных действующим законодательством);
• адрес проживания и адрес регистрации;
• домашний и контактный мобильный телефон, адрес электронной почты;
• место работы или учебы членов семьи и/или родственников;
• данные страхового свидетельства государственного пенсионного страхования (документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа);
• индивидуальный номер налогоплательщика (ИНН);
• сведения, подтверждающие право работника на получение дополнительных гарантий, компенсаций и льгот, предоставляющие дополнительные преимущества работнику в порядке, установленном действующим законодательством, иными локальными нормативными актами работодателя;
• заключения по результатам медицинских осмотров, медицинские книжки в установленном законом порядке;
• дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, материалы служебных расследований;
• фотографии и иные сведения, относящиеся к персональным данным работника;
• трудовые договоры и дополнительные соглашения к ним;
• договоры и соглашения с работниками, в том числе об индивидуальной материальной ответственности;
• кадровые приказы;
• сведения о лицевых счетах работников;
• справки, содержание информацию о персональных данных работника;
• листы временной нетрудоспособности;
• иные документы, в том числе сведения о личном транспорте, используемом работником в служебных целях, иную информацию, установленную локальными нормативными актами работодателя, в том числе Правилами внутреннего трудового распорядка для обеспечения и предоставления работникам гарантий, компенсаций и льгот, расчета и выплаты заработной платы.

2.3. Указанные в п. 2.2. документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается по истечении 75 лет срока хранения, если иное не определено законом.

2.4. Не подлежат получению и обработке данные о политических, религиозных и иных убеждениях работника, о его частной жизни, о его членстве в общественных объединениях и профессиональных союзах, за исключением случаев, предусмотренных федеральным законом.

2.5. Персональные данные работника имеют статус конфиденциальной информации, установленный федеральным законодательством.

2.6. ООО «АртСевер» осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

2.7. Обработка персональных данных в ООО «АртСевер» осуществляется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

3. Порядок получения и обработки персональных данных

3.1. Получение информации

3.1.1. Персональные данные работника могут быть получены только от самого работника.

3.1.2. В случае необходимости возможно получение персональных данных работника у третьей стороны с письменного согласия работника. При этом работник должен быть уведомлен о целях, предполагаемых источниках и способах получения персональных данных, а также о характере интересующих работодателя персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.1.3. Информация о состоянии здоровья работника может запрашиваться только в отношении тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

3.1.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.2. Персональные данные работников Общества обрабатываются и хранятся начальником отдела кадров ООО «ФинСтратег», специалистом по кадрам ООО «ФинСтратег», бухгалтером по заработной плате ООО «ФинСтратег».

3.3. Персональные данные работников в том числе могут храниться в документальной форме в составе личных дел, в других документах, а также могут храниться в электронном виде на локальной компьютерной сети и в автоматизированной системе учета Общества.

3.4. Работник имеет свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащих персональные данные работника, за исключением случаев, предусмотренных федеральным законом.

3.5. Обработка персональных данных в ООО «АртСевер» осуществляется с учетом необходимости обеспечения защиты прав и свобод работников ООО «АртСевер» и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

• обработка персональных данных осуществляется в ООО «АртСевер» на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только те персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ООО «АртСевер» принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.6. Персональные данные обрабатываются в ООО «АртСевер» в целях:

• обеспечения соблюдения Конституции Российской Федерации, Трудового кодекса Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов ООО «АртСевер»;
• осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ООО «АртСевер», в том числе по предоставлению персональных данных в органы государственной власти, в Социальный фонд Российской Федерации, а также в иные государственные органы;
• регулирования трудовых отношений с работниками ООО «АртСевер» (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
• предоставления работникам ООО «АртСевер» и членам их семей дополнительных гарантий и компенсаций, в том числе предусмотренных локальными нормативными актами работодателя;
• защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
• обеспечения пропускного и внутриобъектового режимов на объектах ООО «АртСевер»;
• формирования справочных материалов для внутреннего информационного обеспечения деятельности ООО «АртСевер»;
• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• осуществления прав и законных интересов ООО «АртСевер» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «АртСевер», или третьих лиц либо достижения общественно значимых целей;
• в иных законных целях.

3.7. Работодатель до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерения осуществлять обработку персональных данных по форме, установленной уполномоченными органами по защите прав субъектов персональных данных. При предоставлении данных сведений работодатель для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных. В случае изменения сведений, а также в случае прекращения обработки персональных данных работодатель обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

4. Обеспечение конфиденциальности персональных данных работников

4.1. Передача информации внутри Общества

4.1.1. Доступ к персональным данным работников, в части и в объеме сведений их касающиеся, имеют:

• директор Общества;
• заместители директора Общества;
• главный бухгалтер;
• заместители главного бухгалтера;
• бухгалтер по заработной плате;
• бухгалтер;
• начальник отдела кадров;
• специалист по кадрам;
• специалист по охране труда;
• специалист по персоналу;
• начальник отдела по персоналу;
• начальник службы информационных технологий;
• системный администратор;
• начальник юридического отдела;
• экономист;
• бизнес-ассистент.

Указанные должностные лица имеют доступ к той части и в том объеме в отношении персональных данных работников, которая необходима им для выполнения своих должностных обязанностей (трудовых функций).

Работодатель оставляет за собой право допускать иных должностных лиц к персональным данным работников с целью исполнения ими своих должностных обязанностей.

4.1.2. Доступ к персональным данным для других должностных лиц Общества возможен только на основании письменного разрешения (приказа, распоряжения локально-нормативного акта), директора Общества.

4.1.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.

4.1.4. В помещение, где хранятся персональные данные работников имеют свободный доступ директор Общества, его заместители, главный бухгалтер, начальник отдела кадров, специалист по кадрам, остальные работники имеют доступ в помещение только в присутствии указанных работников.

4.1.5. Помещение оборудовано несгораемым сейфом для хранения трудовых книжек работников.

4.1.6. В процессе хранения персональных данных работников должны обеспечиваться:

• требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
• сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
• контроль по достоверности и полноте персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

4.1.7. Хранение персональных данных работников должностными лицами, указанными в пункте 4.1.1. настоящего Положения осуществляется в установленном режиме конфиденциальности.

4.1.8. Доступ к персональным данным работников ООО «АртСевер» в результате обслуживания системы открытого видеонаблюдения в Обществе имеют:

• директор Общества;
• заместители директора Общества;
• начальник службы информационных технологий;
• начальник отдела кадров.

Указанные должностные лица имеют доступ к той части и в том объеме в отношении персональных данных работников, которая необходима им для выполнения своих должностных обязанностей (трудовых функций).

4.2. Меры, необходимые и достаточные для обеспечения выполнения ООО «АртСевер» обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:

• назначение лиц, ответственных за организацию обработки персональных данных в ООО «АртСевер»;
• принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
• организацию обучения и проведение методической работы с работниками отделов, занимающими должности, включенные в перечень должностей отделов, при замещении которых осуществляется обработка персональных данных;
• получение согласий субъектов персональных данных (работников) на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• обособление персональных данных, обрабатываемых без использования средств автоматизации, или иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
• обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
• установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных в ООО «АртСевер» мер по обеспечению безопасности персональных данных (за исключением общедоступных и (или) обезличенных персональных данных);
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящему Положению, локальным нормативным актам ООО «АртСевер»;
• иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

4.3. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами ООО «АртСевер», регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных ООО «АртСевер».

4.4. Работодатель обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

4.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, работодатель обязан с момента выявления такого инцидента работодателем, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором за взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

5. Передача информации третьей стороне

5.1. Доступ к персональным данным работников (помимо работодателя и его представителей, указанных в п. 4.1.1. данного Положения), в установленном законом порядке могут иметь функциональные структуры (государственные и негосударственные) такие как:

• налоговые инспекции;
• правоохранительные органы;
• органы статистики;
• страховые организации;
• военные комиссариаты;
• органы социального страхования;
• социальный фонд;
• подразделения государственных и муниципальных органов управления.

5.2. Органы, осуществляющие надзорные и контрольные функции имеют доступ к информации только в сфере своей компетенции.

5.3. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, либо по письменному запросу суда.

5.4. Персональные данные работника не могут быть сообщены третьей стороне в коммерческих целях без письменного согласия работника.

6. Права и обязанности работников по предоставлению и защите персональных данных

6.1. Работники Общества имеют право:

6.1.1. Получать полную информацию об имеющихся в Обществе своих персональных данных и их обработке.

6.1.2. Иметь свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей свои персональные данные, за исключением случаев, предусмотренных федеральным законом.

6.1.3. Определять своих представителей для защиты своих персональных данных.

6.1.4. Иметь доступ к медицинской документации, отражающей состояние своего здоровья, с помощью медицинского работника по их выбору.

6.1.5. Требовать исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

6.1.6. Требовать извещение работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

6.1.7. Обжаловать в суд неправомерные действия или бездействия работодателя при обработке и защите своих персональных данных.

6.2. Для создания условий, необходимых для обеспечения работодателем защиты персональных данных работников работники обязаны:

• при приеме на работу и во время работы представлять начальнику кадровой службы, специалисту по кадрам полные и достоверные данные, необходимые для оформления и документирования трудовых отношений;
• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку и вкладыши в нее и (или) сведения о трудовой деятельности (СТД-Р или СТД-ПФР), за исключением случаев, когда договор заключается впервые;
• страховое свидетельство государственного пенсионного страхования, документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• документы воинского учета;
• резюме соискателя на должность, рекомендации с прежних мест работы;
• документы об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний, пли специальной подготовки;
• индивидуальный номер налогоплательщика (ИНН);
• справку о наличии судимости, в установленном законом порядке;
• заключения по результатам медицинских осмотров и психиатрических освидетельствований, медицинские книжки в установленном законом порядке;
• сведения, подтверждающие право работника на получение дополнительных гарантий, компенсаций и льгот, предоставляющих дополнительные преимущества работнику в порядке, установленном действующим законодательством, отраслевым соглашением и иными локальными нормативными актами работодателя;
• иные документы, в том числе биографические данные, сведения о составе и членах семьи, информацию о лицевых счетах, сведения о личном транспорте, используемом работником в служебных целях, контактную и иную информацию, установленную локальными нормативными актами работодателя, в том числе Правилами внутреннего трудового распорядка для обеспечения и предоставления работникам гарантий, компенсаций и льгот, расчета и выплаты заработной платы;
• своевременно, в разумный срок, не превышающий 10 рабочих дней, информировать работодателя об изменениях своих персональных данных с представлением документов (копий документов), подтверждающих эти изменения;
• информировать работодателя о попытках посторонних лиц получить сведения (доступ к сведениям), касающимся персональных данных работников Общества.

6.3. При трудоустройстве на работу работник дает работодателю письменное согласие на обработку персональных данных.

7. Права и обязанности работодателя на получение и защиту персональных данных работников

7.1. Работодатель (представитель работодателя) имеет право:

• запрашивать у работника его персональные данные, то есть, информацию, необходимую для осуществления трудовых отношений;
• осуществлять обработку персональных данных работника — получать, хранить, комбинировать и передавать указанные данные, или использовать их любым иным способом;
• запрашивать у работника письменное согласие на обработку персональных данных;
• знакомить с персональными данными работника строго определенный круг лиц в порядке, установленном настоящим Положением.

7.2. Работодатель (представитель работодателя) обязан:

• при приеме на работу и в процессе трудовых отношений требовать от работника предоставления документов, предусмотренных п. 6.2. настоящего Положения;
• осуществлять обработку персональных данных работников исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечение сохранности имущества;
• руководствоваться при определении объема и содержания обрабатываемых персональных данных работника Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными действующими правовыми актами;
• получать все персональные данные работника только у него самого, в случаях, когда персональные данные работника возможно получить только у третьей стороны, уведомлять работника об этом заранее с получением от него письменного согласия;
• работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
• не получать и не обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни (за исключением случаев, непосредственно связанных с трудовыми отношениями и только с письменного согласия Работника в соответствии со статьей 24 Конституции Российской Федерации);
• не получать и не обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;
• осуществлять защиту персональных данных работника от неправомерного их использования или утраты;
• при принятии решений, затрагивающих интересы работника, не основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных федеральным законом;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• в случае обращения работника к работодателю с требованием о прекращении обработки персональных данных работодатель обязан в срок, не превышающий десяти рабочих дней с даты получения работодателем соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки, за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ;
• ознакомить под подпись работников с настоящими Положением и иными локальными нормативными актами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

8. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

8.1. Должностные лица Общества, указанные в п. 4.1.1. и п. 4.1.2. несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в соответствии с федеральными законами ответственность за разглашение информации, содержащей персональные данные работника.

8.2. Начальник отдела, разрешающий доступ работника к конфиденциальному документу (персональным данным), несет персональную ответственность за данное разрешение.

8.3. Каждый работник Общества, получивший для работы конфиденциальный документ (документ, содержащий персональные данные), несет персональную ответственность за его хранение и сохранение конфиденциальности документа в рамках выполняемых должностных обязанностей.

8.4. Нарушение установленного законом и настоящим Положением порядка получения, хранения, использования или распространения информации о работниках Общества (их персональных данных) влечет дисциплинарную, материальную, гражданско-правовую, или административную и уголовную ответственность в соответствии с федеральными законами.

9. Заключительные положения

9.1. Настоящее Положение является обязательным к исполнению как со стороны работников, так и со стороны работодателя. Положение доводится до всех работников под подпись.

9.2. Настоящее Положение вступает в силу с даты его утверждения директором Общества и действует бессрочно до его отмены или замены новым Положением.

9.3. Изменения и дополнения в настоящее Положение вносятся приказом директора Общества. Со всеми изменениями и дополнениями к Положению работники Общества знакомятся под подпись.