Политика в отношеннии обработки персональных данных

Автоматизированная обработка персональных данных – обработка персональных данных с использованием средств вычислительной техники.

Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Безопасность объекта – состояние защищенности объекта от внешних и внутренних угроз.

Безопасность информации – состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.

Блокирование информации – временное прекращение сбора, систематизации, накопления, использования, распространения, информации, в том числе её передачи.

Доступ к информации – возможность получения информации и ее использования.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона – это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств. Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Модель угроз – перечень возможных угроз информации.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому лицу (субъекту персональных данных).

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение информации – действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.

Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

В ООО «Гвардиум» обрабатываются персональные данные следующих категорий субъектов персональных данных:

Цели обработки персональных данных работников:

1) ведение кадрового учета в соответствии с Трудовым кодексом Российской Федерации;

2) начисление заработной платы и премиального вознаграждения;

3) организации системы доступа в помещения ООО «Гвардиум»;

4) подготовка регламентированной отчетности в государственные контрольные органы (ФНС, ПФР, ФСС и другие). В ООО «Гвардиум» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных сотрудников: фамилия, имя, отчество; дата и место рождения; гражданство; семейное положение; состав семьи; паспортные данные; сведения об образовании; сведения о трудовом стаже; занимаемая должность; сведения о воинской обязанности; адрес регистрации и фактического места жительства; контактные телефоны; сведения о доходах; данные трудового договора; подлинники и копии приказов по личному составу; дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям; анкеты; результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (без диагноза и других медицинских данных); фотография; индивидуальный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; сведения об отпусках; сведения о социальных льготах и гарантиях; код карты доступа в помещения; номер карты доступа в помещения; уровень доступа в помещения; время действия карты доступа в помещения; дата выдачи карты доступа в помещения; тип карты доступа в помещения и иные персональные данные субъекта персональных данных.

Цели обработки персональных данных соискателей:

1) трудоустройство на вакантные должности ООО «Гвардиум». В ООО «Гвардиум» как с помощью средств автоматизации, так и без использования таких средств обрабатываются следующие категории персональных данных соискателей: фамилия, имя, отчество; дата рождения; место рождения; гражданство; пол; сведения о воинском учете; сведения об образовании; сведения о трудовом стаже; другие данные, указанные соискателем самостоятельно в резюме.

Цели обработки персональных данных контрагентов:

Обработка персональных данных должна осуществляться на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных. Сбор, накопление, хранение, изменение, использование и распространение, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться только при условии письменного согласия физического лица, за исключением случаев, предусмотренных Законом.

Обработка персональных данных обрабатывается как с помощью средств автоматизации, так и без использования таких средств.

Правила обработки и защиты персональных данных без использования средств автоматизации установлены в соответствующем внутреннем документе ООО «Гвардиум».

Правила обработки персональных данных в информационной системе персональных данных установлены в Инструкции администратора информационной безопасности и в Инструкции пользователя информационной системы персональных данных.

При сборе персональных данных ООО «Гвардиум» обязана предоставить физическому лицу (субъекту персональных данных) по его запросу информацию о целях, способах обработки персональных данных, сведения о лицах, имеющих доступ к персональным данным, перечень обрабатываемых персональных данных и источник их получения, сведения о сроках обработки и хранения персональных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Информация, представляемая работником при приеме на работу, должна иметь документальное оформление. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

• паспорт или иной документ, удостоверяющий личность;

• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

• страховое свидетельство государственного пенсионного страхования;

• документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;

• документ об образовании, о квалификации или наличии специальных знаний -при поступлении на работу, требующую специальных знаний или специальной подготовки;

• дополнительные документы – в случаях предусмотренных федеральными законами, указами Президента РФ или постановлениями Правительства РФ.

В структурных подразделениях по управлению персоналом предприятия создаются, обрабатываются и хранятся следующие документы, содержащие персональные данные работников:

а) Карточка ф. Т-2, в которой отражаются следующие анкетные и биографические данные работника, которые относятся к персональным данным:

общие сведения (ФИО работника, дата рождения, место рождения, пол, гражданство, знание иностранного языка, образование, профессия, общий трудовой стаж, состояние в браке, паспортные данные, адрес места жительства, дата регистрации по месту жительства, номер телефона);

• сведения о воинском учете;

• данные о приеме на работу.

В дальнейшем в карточку ф. Т-2 вносятся:

• сведения о переводах на другую работу;

• сведения об аттестации;

• сведения о повышении квалификации;

• сведения о профессиональной переподготовке;

• сведения о наградах (поощрениях), почетных званиях;

• сведения об отпусках;

• сведения о социальных льготах и гарантиях.

б) Анкета, которая заполняется работником при приеме на работу (содержатся анкетные и биографические данные работника).

в) Трудовой договор (содержит сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника).

г) Подлинники и копии приказов по личному составу и основания к ним (содержат информацию о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника).

д) Трудовая книжка или ее копия (содержит сведения о трудовом стаже, предыдущих местах работы).

е) Копии свидетельств о заключении брака, рождении детей (необходимы работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством).

ж) Справка о доходах с предыдущего места работы (необходима работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством).

з) Справка о сумме заработной платы, иных выплат и вознаграждений за 2 последние календарные года для начисления пособия по временной нетрудоспособности.

и) Копии документов об образовании (подтверждают квалификацию работника, обосновывают занятие определенной должности).

к) При необходимости иные документы (материалы служебных расследований, подлинники и копии отчетных, аналитических и справочных материалов), содержащие персональные данные работников. Персональные данные соискателей на вакантные должности попадают в ООО «Гвардиум» через специализированные веб-сайты (электронные биржи труда) или направляются соискателями непосредственно на электронную почту ООО «Гвардиум». В случае приглашения соискателя на собеседование, данные в резюме могут подтверждаться документально. Копии подтверждающих документов могут храниться в ООО «Гвардиум», но не дольше чем до достижения цели их обработки, то есть до замещения вакантной должности. Персональные данные контрагентов и их сотрудников поступают в ООО «Гвардиум» при заключении договора, подтверждаются оригиналами документов и хранятся в течение исполнения договорных обязательств.

При заключении трудового договора работник обязан предоставить следующие документы, содержащие его персональные данные:

• действующий российский паспорт или иной документ, удостоверяющий личность;

• трудовую книжку;

• страховое свидетельство государственного пенсионного страхования;

• документы воинского учета (военный билет);

• документы об образовании;

• водительское удостоверение (в зависимости от должности);

• идентификационный номер налогоплательщика (при наличии).

Если трудовой договор с работником заключается впервые, трудовая книжка и страховое свидетельство государственного пенсионного страхования оформляются ООО «Гвардиум». В некоторых случаях, в зависимости от характера выполнения работы и конкретных должностных обязанностей, работник должен предоставить дополнительные документы, такие как:

заграничный паспорт;

медицинскую справку о стоянии здоровья;

справку о доходах.

Этот список не ограничивается вышеперечисленными документами и может включать иные документы, содержащие персональные данные работника и необходимые ООО «Гвардиум» для выполнения ею своих обязательств как по отношению к работнику, так и к третьей стороне. В случае необходимости ООО «Гвардиум» вправе обратиться к работнику с просьбой о предоставлении документов, содержащих его персональные данные. Все персональные данные работника следует получать непосредственно от него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на получение его персональных данных у третьей стороны. ООО «Гвардиум» должна сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работник при изменении персональных данных письменно уведомляет работодателя о таких изменениях в срок, не превышающий трех рабочих дней.

В соответствии со статьей 86 главы 14 Трудового кодекса Российской Федерации в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

• обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

• при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами;

• защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;

• работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом, не допускается. Данное ограничение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.

Передача персональных данных субъекта в коммерческих целях без его письменного согласия исключается. Обработка персональных данных субъекта в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия. Лица, получившие доступ к персональным данным субъекта, должны быть предупреждены о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, и обязаны соблюдать это правило. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности. Передача или получение персональных данных осуществляются в соответствии с утвержденными Правилами рассмотрения запросов субъектов персональных данных или их представителей. Персональные данные соискателей и контрагентов третьим лицам не передаются. Передача персональных данных третьим лицам допускается только в случаях, предусмотренных федеральным законодательством, либо при наличии письменного согласия субъекта персональных данных. Персональные данные работников могут передаваться в государственные контролирующие органы в соответствии с требованиями законодательства, а также в рамках реализации зарплатного проекта – в соответствующую финансовую организацию. Такая передача осуществляется исключительно с информированного и осознанного согласия работника.

Трансграничная передача персональных данных ООО «Гвардиум» не осуществляется.

Все технические средства обработки персональных данных (рабочие станции и сервера) находятся в пределах Российской Федерации.

ООО «Гвардиум» обязана прекратить обработку персональных данных и уничтожить их после достижения цели обработки или в случае отзыва субъектом персональных данных согласия на обработку, за исключением случаев, когда уничтожение противоречит федеральному законодательству, а также уведомить о своих действиях субъекта персональных данных и (или) уполномоченный орган. Во всех случаях предусмотрен срок уничтожения персональных данных – три рабочих дня.

В целях оперативной организации уничтожения персональных данных на бумажных носителях приказом Генерального директора ООО «Гвардиум» назначена комиссия по уничтожению персональных данных, а также утверждена форма акта уничтожения персональных данных.

Персональные данные, обрабатываемые в информационной системе персональных данных, удаляются путем стирания записи в базах данных администратором информационной безопасности ООО «Гвардиум» по запросу субъекта или при достижении целей обработки персональных данных.

Временное прекращение операций по обработке персональных данных (блокирование) должно возникать по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

При обработке персональных данных ООО «Гвардиум» принимает организационные и технические меры для защиты персональных данных от неправомерных действий в соответствии с требованиями, устанавливаемыми Правительством РФ.

Защита персональных данных при неавтоматизированной их обработке регламентируется внутренним документом «Правила обработки персональных данных без использования средств автоматизации». Защита персональных данных при их обработке в информационной системе персональных данных (далее – ИСПДн) регламентирована Инструкцией администратора безопасности ИСПДн, Инструкцией пользователя ИСПДн и другими внутренними документами ООО «Гвардиум» по защите информации. Приказом Генерального директора ООО «Гвардиум» назначена группа реагирования на инциденты информационной безопасности.

В ООО «Гвардиум» разработана Модель угроз ИСПДн и Модель нарушителя. Проведена классификация ИСПДн. Для ИСПДн сформировано Техническое задание на систему защиты информации, в котором описаны все организационные и технические меры, которые необходимо осуществить для нейтрализации актуальных угроз и выполнения требований действующего законодательства по защите персональных данных установленного уровня защищенности. В ООО «Гвардиум» проведена внутренняя оценка эффективности принятых мер по защите персональных данных, подтвердившая в целом удовлетворительное состояние системы защиты персональных данных.

С соискателей согласия на обработку персональных данных берутся только в случае приглашения соискателя на собеседование в офис ООО «Гвардиум». Размещая свое резюме на электронных биржах труда или присылая резюме на электронную почту ООО «Гвардиум», соискатель автоматически дает свое согласие на обработку его персональных данных. С контрагентов согласия на обработку персональных данных не берутся, поскольку обработка их персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. В соответствии с пп. 5, п. 1 статьи 6 Федерального закона № 152-ФЗ «О персональных данных» согласие на обработку персональных данных в таких случаях не требуется. Со всех работников ООО «Гвардиум» собирается согласие на обработку их персональных данных. Несмотря на то, что обработка персональных данных производится в основном в соответствии с Трудовым кодексом Российской Федерации, персональные данные работников в рамках зарплатного проекта могут передаваться третьей стороне для осуществления расчетных операций. Такая передача персональных данных возможна только с согласия субъекта, в соответствии с п. 3 статьи 6 Федерального закона № 152-ФЗ «О персональных данных».

Должностные лица ООО «Гвардиум» должны иметь доступ только к тем персональным данным, которые необходимы им для выполнения своих функциональных обязанностей.

В ООО «Гвардиум» разработана и утверждена разрешительная система допуска к персональным данным (Положение о разграничении прав доступа к персональным данным). Круг лиц, допущенных к обработке персональных данных, определяет руководство ООО «Гвардиум» на основании данных, представленных руководителями подразделений, в которых ведется обработка персональных данных. Данный Перечень утверждается Генеральным директором ООО «Гвардиум».

Должностные лица ООО «Гвардиум» допускаются к обработке персональных данных после ознакомления с настоящим Положением, инструкцией пользователя ИСПДн, а также с иной организационно-распорядительной документацией Организации по защите персональных данных.

Должностные лица ООО «Гвардиум» перед началом обработки персональных данных подписывают соглашение о неразглашении персональных данных.

Доступ должностных лиц к обработке персональных данных осуществляется в соответствии с Перечнем лиц, должностей, служб и процессов, допущенных к работе с персональными данными.

В случае обнаружения нарушений правил обработки персональных данных в организации руководство ООО «Гвардиум» и/или администратор безопасности информации и/или ответственный за организацию обработки персональных данных обязаны приостановить предоставление персональных данных пользователям до выявления и устранения причин нарушений.

Работники ООО «Гвардиум» имеют право на свободный бесплатный доступ к своим персональным данным, а также на получение копий любой записи о своих персональных данных, обрабатываемых в организации.

Лица, не имеющие доступа к персональным данным в соответствии с Перечнем подразделений и сотрудников, допущенных к работе с персональными данными, могут быть допущены к ним на основании приказа, подписанного Генеральным директором ООО «Гвардиум» либо руководителем подразделения данного лица.

ООО «Гвардиум», обрабатывающая персональные данные, должна обеспечивать бесплатный доступ субъекта к персональным данным, ему соответствующим, за исключением случаев получения персональных данных в результате оперативно-розыскной деятельности, а также других случаев, предусмотренных федеральным законодательством.

Для получения доступа к своим персональным данным субъекту необходимо направить в ООО «Гвардиум» запрос, содержащий паспортные данные субъекта персональных данных, в бумажной или электронной форме, подписанные собственноручно или квалифицированной электронной подписью.

Работники ООО «Гвардиум» должны предоставить персональные данные субъекту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам.

В случае если персональные данные субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО «Гвардиум» обязана удовлетворить требование субъекта по устранению нарушений обработки персональных данных.

С целью организации своевременной обработки запросов и обращений субъектов персональных данных в ООО «Гвардиум» разработан и утвержден документ «Правила рассмотрения запросов субъектов персональных данных или их представителей».

ООО «Гвардиум» имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если на это дано информированное согласие субъекта персональных данных или если это предусмотрено действующим законодательством.

В случае выявления недостоверных персональных данных или неправомерных действий с ними ООО «Гвардиум» при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, ООО «Гвардиум» обязана устранить допущенные нарушения или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган. Должностные лица ООО «Гвардиум», в обязанность которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с Правилами рассмотрения запросов субъектов персональных данных.

В случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных ООО «Гвардиум» обязана внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.

ООО «Гвардиум» обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.

По запросу уполномоченного органа по защите прав субъектов персональных данных ООО «Гвардиум» обязана предоставить ему необходимую информацию.

Работники, допущенные к обработке персональных данных, обязаны ознакомиться с документами ООО «Гвардиум», которые устанавливают порядок обработки персональных данных в ООО «Гвардиум», и подписать лист ознакомления с ними, а также подписать соглашение о неразглашении персональных данных, полученных в ходе исполнения своих должностных обязанностей.

В целях защиты персональных данных, хранящихся в ООО «Гвардиум», работник имеет право:

требовать исключения или исправления неверных или неполных персональных данных;

на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

определять своих представителей для защиты своих персональных данных;

на сохранение и защиту своей личной и семейной тайны;

на обжалование в суде любых неправомерных действий или бездействия ООО «Гвардиум» при обработке и защите его персональных данных.

В целях защиты персональных данных, хранящихся в ООО «Гвардиум», работник, осуществляющий обработку персональных данных, имеет право:

получать и вводить информацию в соответствии с его полномочиями;

требовать оповещения ООО «Гвардиум» субъекта персональных данных обо всех произведенных в них исключениях, исправлениях или дополнениях.

В части своих персональных данных:

• передавать ООО «Гвардиум» достоверные документы, содержащие персональные данные, состав которых установлен Трудовым кодексом РФ;

• не предоставлять неверные персональные данные, а в случае изменений в персональных данных или обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), незамедлительно сообщить об этом в ООО «Гвардиум».

В части обработки персональных данных субъекта:

• соблюдать режим конфиденциальности;

• не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

• не сообщать персональные данные субъекта третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;

• разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

• не запрашивать дополнительную информацию, содержащую персональные данные, за исключением тех сведений, которые необходимы для достижения целей обработки персональных данных.

Субъект персональных данных имеет право на получение сведений об ООО «Гвардиум», о месте ее нахождения, о наличии у ООО «Гвардиум» персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от ООО «Гвардиум» уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю ООО «Гвардиум» при обращении либо при получении запроса субъекта персональных данных или его законного представителя.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных ООО «Гвардиум», а также цель такой обработки;

способы обработки персональных данных, применяемые в ООО «Гвардиум»;

сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

перечень обрабатываемых персональных данных и источник их получения;

сроки обработки персональных данных, в том числе сроки их хранения;

сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Если субъект персональных данных считает, что ООО «Гвардиум» осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие ООО «Гвардиум» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования этой информации.

Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъекта персональных данных, действующего на основании законодательства о персональных данных.

Должностные лица ООО «Гвардиум», виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность, предусмотренную федеральным законодательством.

Руководитель подразделения, разрешивший доступ должностному лицу к персональным данным несет персональную ответственность за данное решение.

Должностные лица ООО «Гвардиум», получающие доступ к персональным данным несут персональную ответственность за обеспечение конфиденциальности предоставленной им информации. Кроме того, должностные лица ООО «Гвардиум», получающие для работы документы, содержащие персональные данные, несут персональную ответственность за их сохранность.

В случае, когда нарушение конфиденциальности, целостности или доступности персональных данных повлекло за собой какие-либо финансовые потери для ООО «Гвардиум», виновные должностные лица обязаны возместить причиненный ущерб.