1. Общие положения

1.1. Настоящее Положение является локальным нормативным актом ИП Юркова О.П. (далее - ИП), являющимся оператором персональных данных, принятым с учетом требований, в частности, гл. 14 Трудового кодекса РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

1.2. В Положении устанавливаются:

• цель, порядок и условия обработки персональных данных;
• категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
• положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, на устранение последствий таких нарушений.

1.3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.

1.4. Настоящее положение разработано в целях:

• регламентации порядка осуществления операций с персональными данными сотрудников и клиентов предприятия;
• обеспечения требований закона № 152-ФЗ и иных правовых актов, регулирующих использование персональных данных;
• установления прав и обязанностей сотрудников и клиентов ИП в части работы с персональными данными;
• установления механизмов ответственности сотрудников предприятия за нарушение локальных норм, а также положений федерального, регионального и муниципального законодательства, регулирующих использование персональных данных;
• применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, а также гражданского законодательства, в том числе:

• при содействии в трудоустройстве;
• ведении кадрового и бухгалтерского учета;
• оформлении награждений и поощрений;
• предоставлении со стороны ИП установленных законодательством условий труда, гарантий и компенсаций;
• заполнении и передаче в уполномоченные органы требуемых форм отчетности;
• осуществлении контроля за количеством и качеством выполняемой работы;
• исполнении гражданско-правовых договоров ИП;
• участие в программе лояльности.

1.5. Настоящее положение вступает в силу с момента его утверждения ИП и действует бессрочно до замены новым локальным правовым актом аналогичного назначения.

1.6. Внесение изменений в Положение производится приказом индивидуального предпринимателя. Изменения вступают в силу с момента подписания соответствующего приказа.

1.7. Все сотрудники ИП знакомятся с настоящим положением и расписываются в листе ознакомления, трудовом договоре.

1.8. Ограничение несанкционированного доступа к персональным данным обеспечивается ИП и снимается в момент их обезличивания, а также по истечении 75 лет их хранения, если иное не установлено законом или решением руководства предприятия.

1.9. Основным инфраструктурным ресурсом ИП для осуществления операций с персональными данными являются информационные системы, представляющие собой:

• комплексы автоматизированной обработки персональных данных (позволяющих осуществлять операции с персональными данными в виде файлов, доступ к которым регулируется в соответствии с положениями локальных правовых актов предприятия, федеральных, региональных и муниципальных НПА);
• документацию на бумажных носителях (доступ к которым также осуществляется в соответствии с положениями локальных правовых актов и законодательства РФ).

2. Категории субъектов персональных данных

2.1. К субъектам, персональные данные которых обрабатываются у ИП в соответствии с Положением, относятся:

• кандидаты для приема на работу к ИП;
• работники ИП;
• бывшие работники ИП;
• члены семей работников ИП - в случаях, когда согласно законодательству сведения о них предоставляются работником;
• иные лица, персональные данные которых ИП обязан обрабатывать в соответствии с трудовым законодательством и иными актами, содержащими нормы трудового права, налоговым и пенсионным законодательством, гражданско-правовыми договорами;
• персональные данные лиц, участвующих в системе лояльности;
• персональные данные посетителей сайта.

3. Категории (перечни) обрабатываемых персональных данных

3.1. У ИП обрабатываются следующие персональные данные:

• фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);
• пол;
• дата (число, месяц, год) и место рождения;
• сведения о гражданстве;
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• страховой номер индивидуального лицевого счета (СНИЛС);
• идентификационный номер налогоплательщика (ИНН);
• адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
• номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;
• реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
• сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);
• сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);
• сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;
• сведения о доходах, обязательствах по исполнительным документам;
• номера расчетного счета, банковской карты;
• сведения о состоянии здоровья (для отдельных категорий работников);
• иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 1.4.5. Положения;
• иные персональные данные, которые работник или контрагент пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 1.4.5. Положения.

3.2. Достоверность персональных данных работников ИП определяется исходя из их изначального размещения в таких документах как:

• паспорт или иной источник, удостоверяющий личность работника;
• трудовая книжка (за исключением тех случаев, когда ИП является для сотрудника первым работодателем, либо участвует в восстановлении утерянной трудкнижки);
• свидетельство пенсионного страхования;
• военный билет и иные документы воинского учета;
• диплом, свидетельство, аттестат об образовании;
• свидетельство о постановке на налоговый учёт;
• свидетельство о рождении ребенка;
• свидетельство о заключении, расторжении брака;
• свидетельство об установлении отцовства.

Отдельным приказом ИП могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.

3.3. Отдел кадров, бухгалтерия ИП обеспечивает проверку вышеперечисленных документов, содержащих персональные данные сотрудников, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.

4. Операции с персональными данными

4.1. Настоящее положение устанавливает, что ИП осуществляет следующие операции с персональными данными работников:

• получение;
• обработка;
• хранение;
• передача;
• блокирование;
• ликвидация.

4.2. Под получением персональных данных понимается последовательность действий, связанных с установлением достоверности соответствующих данных, а также размещением их в информационных системах ИП.

4.3. Под обработкой персональных данных понимается прочтение, корректировка, дополнение или удаление соответствующих данных, совершаемые уполномоченным лицом ИП.

4.4. Под хранением персональных данных понимается совокупность операций, направленных на обеспечение целостности соответствующих данных и неизменности состояния посредством их размещения в информационных системах ИП.

4.5. Под передачей персональных данных понимается операция:

• по адресному размещению соответствующих данных на носителях и серверах, доступ к которым имеют сотрудники ИП либо третьи лица;
• по размещению персональных данных в источниках внутрикорпоративного документооборота;
• по опубликованию в интересах предприятия персональных данных о работнике в СМИ или на серверах интернета в соответствии с нормами законодательства.

4.6. Под блокированием персональных данных понимается временный запрет на осуществление каких-либо операций с персональными данными, которые находятся в информационных системах предприятия, в случаях, предусмотренных положениями локальных правовых актов ИП и законодательства РФ.

4.7. Под ликвидацией персональных данных понимается операция по изъятию соответствующих данных из информационных систем ИП, а также обеспечению невозможности их восстановления.

5. Порядок и условия осуществления операций с персональными данными

5.1. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.

5.2. Обработка персональных данных в ИП выполняется следующим способом:

• смешанная обработка персональных данных;
• без передачи по внутренней сети юридического лица;
• с передачей по сети интернет;
• без осуществления трансграничной передачи.

5.3. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от субъекта персональных данных. В случае если предоставление соответствующих данных возможно только от третьих лиц, то сотрудник должен дать письменное согласие на это.

5.4. Предприятие не имеет права требовать и получать персональные данные сотрудника, отражающие личные аспекты его жизни, религиозные, политические, философские взгляды.

5.5. Обработка персональных данных сотрудника может осуществляться только с его письменного согласия за исключением тех случаев, что предусмотрены подп. 2–11 п. 1 ст. 6 закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

5.6. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных.

5.6.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в ИП осуществляются посредством:

• получения оригиналов документов либо их копий;
• копирования оригиналов документов;
• внесения сведений в учетные формы на бумажных и электронных носителях;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях;
• внесения персональных данных в информационные системы персональных данных.

5.7. Хранение персональных данных осуществляется с учетом специфики конкретной ИС.

5.7.1. Если используется цифровая ИС, то хранение данных осуществляется на ПК отдела кадров ИП.

5.7.2. Если используется ИС на основе бумажных носителей, то хранение данных осуществляется в архиве отдела кадров.

5.8. Передача персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением, а также с учетом специфики конкретной информационной системы.

5.8.1. Если используется цифровая ИС (предназначенная для автоматизированной обработки персональных данных), то передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты.

5.8.2. Если используется ИС на основе бумажных носителей, то передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии сотрудников предприятия, имеющих доступ к соответствующей ИС, который устанавливается отдельным локальным правовым актом.

5.9. Блокирование персональных данных на предприятии осуществляется с учетом специфики конкретной ИС.

5.9.1. Если используется цифровая ИС, то блокирование данных осуществляется посредством закрытия доступа к файлам при задействовании средств криптозащиты.

5.9.2. Если используется ИС на основе бумажных носителей, то блокирование данных осуществляется посредством закрытия доступа к соответствующей ИС для определенных групп сотрудников.

5.10. Ликвидация персональных данных осуществляется с учетом специфики конкретной ИС.

5.10.1. Если используется цифровая ИС, то ликвидация данных осуществляется посредством их удаления с ПК отдела кадров ИП.

5.10.2. Если используется ИС на основе бумажных носителей, то ликвидация данных осуществляется посредством уничтожения соответствующих носителей с помощью специальных технических средств.

6. Сроки обработки и хранения персональных данных

6.1. Обработка персональных данных у ИП прекращается в следующих случаях:

• при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
• при достижении целей их обработки (за некоторыми исключениями);
• по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
• при обращении субъекта персональных данных к ИП с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

6.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

6.3. Персональные данные на бумажных носителях хранятся у ИП в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

6.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

7. Порядок блокирования и уничтожения персональных данных

7.1. ИП блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

7.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

7.3. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и ИП. Кроме того, персональные данные уничтожаются в указанный срок, если ИП не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

7.4. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения ИП, обрабатывающие персональные данные.

7.5. Уничтожение персональных данных осуществляет комиссия, созданная приказом ИП.

7.5.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

7.5.2. Персональные данные на бумажных и на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

7.6 Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:

• актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;

Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.

8. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений

8.1. Без письменного согласия субъекта персональных данных ИП не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.

8.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.

8.2. С целью защиты персональных данных у ИП приказами назначаются (утверждаются):

• работник, ответственный за организацию обработки персональных данных;
• перечень должностей, при замещении которых обрабатываются персональные данные;
• перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
• форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
• иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.

8.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

8.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения ИП, в которых они размещаются, оборудуются запирающими устройствами. Выдача ключей от шкафов и помещений осуществляется под подпись.

8.5. Доступ к персональной информации, содержащейся в информационных системах ИП, осуществляется по индивидуальным паролям.

8.6. У ИП используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

8.7. Работники ИП, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

8.8.  У ИП проводятся внутренние расследования в следующих ситуациях:

• при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
• в иных случаях, предусмотренных законодательством в области персональных данных.

8.9. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).

8.9.1. В случае инцидента ИП в течение 24 часов уведомляет Роскомнадзор:

• об инциденте;
• его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
• принятых мерах по устранению последствий инцидента;
• представителе ИП, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

8.9.2. В течение 72 часов ИП обязано сделать следующее:

• уведомить Роскомнадзор о результатах внутреннего расследования;
• предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

При направлении уведомления также необходимо руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.

8.10. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, ИП уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. ИП уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

9. Организация доступа к персональным данным

9.1. Доступ к персональным данным субъектов персональных данных ИП, не требующий подтверждения и не подлежащий ограничению, имеют:

• индивидуальный предприниматель;
• директор предприятия;
• сотрудники отдела кадров предприятия;
• сотрудники бухгалтерии предприятия.

9.2. Доступ к персональным данным сотрудников ИП для иных лиц может быть разрешен только отдельным распоряжением ИП.

10. Обязанности сотрудников, имеющих доступ к персональным данным

10.1. Сотрудники ИП и другие лица, имеющие доступ к персональным данным, обязаны:

• осуществлять операции с персональными данными при соблюдении норм, установленных настоящим положением, а также федеральных, региональных и муниципальных НПА;
• информировать ИП и директора предприятия о нештатных ситуациях, связанных с операциями с персональными данными;
• обеспечивать конфиденциальность операций с персональными данными;
• обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения.

11. Права работников в части осуществления операций с персональными данными

11.1. Работник ИП, передавший предприятию свои персональные данные, имеет право:

• на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;
• на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;
• требовать от предприятия дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам работника, осуществляются незаконно, а также в случае, если персональные данные недостоверны;
• получать от предприятия информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;
• получать от ИП информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе предприятия.

11.2. Работники ИП, имеющие доступ к персональным данным сотрудников предприятия, имеют право:

• на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;
• на получение консультационной поддержки со стороны руководства и других компетентных сотрудников в части осуществления операций с персональными данными;
• на отдачу распоряжений и направление предписаний сотрудникам, передающим персональными данные предприятию, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.

12. Ответственность сотрудников за нарушения правил осуществления операций с персональными данными

12.1. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном настоящим положением, а также нормами федерального, регионального и муниципального законодательства РФ.

12.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.