89131591810
89081127001

Пользовательское соглашение

Утверждено

директором

ООО «Центр страхового права»

Приказом

от 01.01.2018г.

 

ПОЛОЖЕНИЕ

об обработке персональных данных

ООО «Центр страхового права»

 

  • Общие положения

Настоящее Положение разработано в соответствии с положениями федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее — Федеральный закон), Политики обработки ПДн в ООО «Центр страхового права» (далее – Общество) и иных нормативных документов по вопросам безопасности персональных данных (далее — ПДн).

Настоящее Положение устанавливает порядок осуществления обработки и обеспечения безопасности ПДн на всех этапах осуществления деятельности Общества.

Требования настоящего Положения являются обязательными для исполнения всеми работниками Общества.

Настоящее Положение подлежит периодической ревизии на предмет соответствия закрепленного порядка обработки и обеспечения безопасности ПДн положениям Федерального закона и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Общества в отношении обработки ПДн, локальным актам Общества. Ревизия осуществляется при проведении планового внутреннего контроля или аудита по вопросам обеспечения безопасности ПДн.

Настоящее положение является внутренним документом Общества и не подлежит опубликованию или распространению.

Требования настоящего Положения доводятся до сведения всех работников Общества при приеме на работу, по результатам ревизии настоящего Положения и во время планового инструктажа работников Общества по вопросам обеспечения безопасности ПДн.

Для целей настоящего Положения под ПДн понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), являющемуся работником или контрагентом, или клиентом Общества (дебитором).

Действие настоящего Положения не распространяется на отношения, возникающие при хранении, комплектовании, учете и использовании содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.

 

  • Принципы обработки ПДн

Обработка ПДн должна осуществляться на законной и справедливой основе.

Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

Обработке подлежат только ПДн, которые отвечают целям их обработки.

Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество должно принимать необходимые меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение ПДн должно осуществляться в форме, позволяющей идентифицировать субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого является субъект ПДн.

 

  • Условия обработки ПДн

Обработка ПДн должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Обработка ПДн в Обществе допускается в следующих случаях:

1) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 3 июля 2016 года № 230 "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности" и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

2) обработка персональных данных необходима для информационного обеспечения учреждения и клиентов;

Особенности обработки специальных категорий ПДн, а также биометрических ПДн устанавливаются соответственно статьями 10 и 11 Федерального закона.

Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта (далее - поручение оператора). В поручении Общества должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и целью обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона.

Лицо, осуществляющее обработку ПДн по поручению Общества, не обязано получать согласие субъекта ПДн на обработку его ПДн.

В случае если Общество поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.

 

  • Конфиденциальность ПДн

Общество и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

 

  • Общедоступные источники ПДн

В целях информационного обеспечения Общество и его клиентов могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.

Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

 

  • Согласие субъекта ПДн на обработку его ПДн

Согласие субъекта ПДн на обработку его ПДн берется Обществом при внесении ПДн субъекта в общедоступные источники ПДн (в том числе справочники, адресные книги).

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.

Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн, Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона.

В случае необходимости обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона, возлагается на Общество.

В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

4) цель обработки ПДн;

5) перечень ПДн, на обработку которых дается согласие субъекта ПДн;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта ПДн.

В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.

В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

ПДн могут быть получены Обществом от лица, не являющегося субъектом ПДн, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона.

Согласие субъекта ПДн является документом, входящим в номенклатуру дел Общества и подлежит хранению в течении 75 лет.

 

  • Иные категории ПДн

Обработка иных категорий ПДн допускается в следующих случаях:

1) субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

2) ПДн сделаны общедоступными субъектом ПДн;

3) обработка персональных данных производится в случае получения информации от банков о задолжности дебиторов для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 3 июля 2016 года № 230 "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности" и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

4) в случае получения лицом от Оператора ПДн дебиторов на основании заключаемого с этим лицом договораи с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона

 

  • Трансграничная передача ПДн

Передача ПДн на территории иностранных государств запрещена, исключая случаи, установленные федеральным законом или иным нормативным актом.

В Обществе не осуществляется трансграничная передача ПДн.

 

9 Порядок обработки ПДн

9.1 Общие положения

Обработка ПДн клиентов Общества осуществляется непосредственно работниками Общества с использованием средств вычислительной техники (средств автоматизации) и без использования таких средств, с фиксацией ПДн на материальном носителе (бумажные документы).

Обработка ПДн работников Общества осуществляется штатными работниками Общества с использованием средств вычислительной техники (средств автоматизации) и без использования таких средств, с фиксацией ПДн на материальном носителе (бумажные документы).

Обработка ПДн контрагентов Общества осуществляется работниками Общества с использованием средств вычислительной техники (средств автоматизации), в том числе в информационно-телекоммуникационных сетях и без использования таких средств, с фиксацией ПДн на материальном носителе (бумажные документы).

Перечень ПДн обрабатываемых в Обществе и подлежащих защите представлен в "Перечне обрабатываемой конфиденциальной информации" в Обществе.

Перечень лиц по должностям, допущенных к обработке ПДн, права доступа к ПДн, а также перечень лиц, имеющих доступ к рабочим местам, на которых ведется обработка ПДн, представлены в документе "Положение о разграничении прав доступа к обрабатываемым персональным данным".

 

9.2 Обработка ПДн работников при ведении кадрового учета

Сведения, необходимые для ведения кадрового учета, должны поступать непосредственно от субъектов ПДн на материальных носителях в виде бумажных документов.

При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю сведения согласно ст. 65 Трудового кодекса РФ:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме согласно приложения № 6 к Административному регламенту Министерства внутренних дел Российской Федерации по предоставлению государственной услуги по выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного преследования или о прекращении уголовного преследования - при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с Трудовым Кодексом РФ, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.

Во исполнение положений ст. 230 Налогового Кодекса РФ и Приказа Федеральной налоговой службы от 17 ноября 2010 года № ММВ-7-3/611
"Об утверждении формы сведений о доходах физических лиц и рекомендаций по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников" и в соответствии с положением абзаца 2 ст. 65 Трудового Кодекса РФ, Общество дополнительно запрашивает у лица, принимаемого на работу, свидетельство о постановке на учет в налоговом органе.

Запрещается требовать от лица, поступающего на работу, документы, не предусмотренные настоящим Положением, Трудовым Кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

На основе предоставленных документов формируются личные дела работников на бумажных носителях. При автоматизации процесса ведения кадрового делопроизводства, документы, подлежащие включению в личное дело работника, выводятся на бумажные носители и включаются в личное дело.

Отдельно от материалов личного дела работника, при приеме на работу, заводится личная карточка работника по форме Т-2, утвержденной постановлением Госкомстата России от 05 января 2004 года № 1
"Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты". Карточка Т-2 должна вестись на бумажных носителях. При автоматизации процесса ведения карточки Т-2, актуальная версия должна выводиться на бумажный носитель, а предыдущий экземпляр подлежит уничтожению.

При заключении трудового договора, в него должны вноситься ПДн работника в составе согласно ст. 57 Трудового кодекса РФ, если иное не оговорено иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

При заключении трудового договора впервые, трудовая книжка и страховое свидетельство государственного пенсионного страхования оформляются Обществом.

В случае отсутствия у лица, поступающего на работу, трудовой книжки в связи с ее утратой, повреждением или по иной причине по письменному заявлению этого лица (с указанием причины отсутствия трудовой книжки) оформляется новая трудовая книжка.

Ведение трудовых книжек работников Общества должно осуществляться в соответствии с требованиями Постановления Правительства РФ от 16 апреля 2003 года № 225 "О трудовых книжках".

           

9.3 Обработка ПДн работников при осуществлении персонифицированного учета доходов физических лиц

Обработка ПДн работников при осуществлении персонифицированного учета доходов физических лиц, должна осуществляться в соответствии с положениями:

  • Пункта 5 статьи 226, пункта 2 статьи 230 Налогового кодекса Российской Федерации;
  • Приказа Федеральной налоговой службы от 17 ноября 2010 года
    № ММВ-7-3/611 "Об утверждении формы сведений о доходах физических лиц и рекомендаций по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников";
  • Порядка представления в налоговые органы сведений о доходах физических лиц и сообщений о невозможности удержания налога и сумме налога на доходы физических лиц, утвержденного Приказом Федеральной налоговой службы от 16 сентября 2011 года № ММВ-7-3/576
    "Об утверждении Порядка представления в налоговые органы сведений о доходах физических лиц и сообщений о невозможности удержания налога и сумме налога на доходы физических лиц";
  • Федеральным законом от 27 июля 2006 года № 152-ФЗ
    "О персональных данных";
  • Иных нормативных правовых актов по вопросам персонифицированного учета доходов физических лиц и защиты ПДн.

Разграничение доступа в технологическом процессе обработки ПДн работников при осуществлении персонифицированного учета доходов физических лиц в Обществе, должно соответствовать таблице  документа "Положение о разграничении прав доступа к обрабатываемым персональным данным".

 

9.4 Обработка ПДн работников при осуществлении персонифицированного учета обязательного страхового обеспечения

Обработка ПДн работников при осуществлении персонифицированного учета обязательного страхового обеспечения должна осуществляться в соответствии с положениями:

  • ст.ст. 8-12 Федерального закона от 1 апреля 1996 года № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";
  • Инструкции о порядке ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах, утвержденной приказом Минздравсоцразвития России от 14 декабря 2009 года № 987н;
  • Постановления Правления Пенсионного Фонда Российской Федерации от 31 июля 2006 года № 192п "О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и инструкции по их заполнению";
  • Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
  • Иных нормативных правовых актов по вопросам персонифицированного учета обязательного страхового обеспечения и защиты ПДн.

Разграничение доступа в технологическом процессе обработки ПДн работников при осуществлении персонифицированного учета обязательного страхового обеспечения в Обществе должно соответствовать таблице  документа "Положение о разграничении прав доступа к обрабатываемым персональным данным".

 

9.5. Обработка ПДн при ведении бухгалтерского учета

Обработка ПДн работников Общества при начислении и расчете заработной платы  должна осуществляться в соответствии с положениями:

  • п.п. 1.1-1.2 Постановления Государственного комитета Российской Федерации по статистике от 05 января 2004 года № 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты";
  • иных нормативных правовых актов по расчетам с персоналом.

ПДн работников обрабатываются с использованием средств автоматизации, а также без использования таких средств, с фиксацией ПДн на материальном носителе (бумажные документы).

Разграничение доступа в технологическом процессе обработки ПДн работников при начислении и расчете заработной платы в Обществе должно соответствовать таблице в документе "Положение о разграничении прав доступа к обрабатываемым персональным данным".

 

10 Порядок хранения документов, содержащих ПДн

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

При хранении необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

ПДн (материальные носители), обработка которых осуществляется с одной целью, могут объединяться в дела.

При хранении должна составляться опись документов и дел, содержащих ПДн.

Сроки хранения документов, содержащих ПДн, устанавливаются согласно номенклатуре дел Общества.

Во внерабочее время все документы, содержащие ПДн, должны храниться в специально отведенном для этого хранилище.

Выдача документов, содержащих ПДн и находящихся на хранении, для осуществления обработки данных должна осуществляться ответственным за организацию обработки ПДн в Обществе или ответственным за хранение конфиденциальных документов с фиксацией факта выдачи в журнале учета обращения конфиденциальных документов. Журнал учета обращения конфиденциальных документов должен содержать следующие сведения: дата выдачи, учетный номер документа, фамилия и подпись лица, получившего документ, отметка о возвращении на хранение.

По истечении текущей необходимости обработки ПДн, содержащихся в документах, документы должны быть сданы на хранение. Факт возвращения документа на хранение должен быть отмечен ответственным за организацию обработки ПДн в Обществе или ответственным за хранение конфиденциальных документов в журнале учета обращения конфиденциальных документов.

Порядок экспертизы ценности документов, содержащих ПДн, отбора и подготовки к передаче на постоянное хранение документов Архивного фонда Российской Федерации, отнесенных к государственной собственности, до передачи на постоянное хранение, временно, в пределах сроков, установленных Федеральной архивной службой России, хранящихся в Обществе, устанавливаются Основными правилами работы архивов Общества, одобренными решением Коллегии Росархива от 06 февраля 2002 года.

 

11 Порядок уничтожения документов, содержащих ПДн

Обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Порядок выделения к уничтожению и уничтожение документов (дел), не подлежащих хранению устанавливается Основными правилами работы архивов Общества, одобренными решением Коллегии Росархива от 06 февраля 2002 года.