ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ
RICH BRAIN
1. Общие положения
1.1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных пользователей RICH BRAIN в лице индивидуального предпринимателя Смоляровой Натальи Алексеевны ИНН 644004337413, ОРГН 318774600158560), действующей на основании ЕГРИП от 23.03.2018 г., как официального представителя RICH BRAIN (далее также - Общество, оператор, работодатель) и третьих лиц (далее также - лиц, субъектов).
1.2. Упорядочение обращения с персональными данными направлено на соблюдение законных прав и интересов Общества и его работников, третьих лиц в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи Обществом сведений, составляющих персональные данные работников и третьих лиц (далее — субъектов персональных данных). Персональные данные обрабатываются с согласия субъектов персональных данных.
1.3. Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах жизни лица, позволяющие идентифицировать его личность и содержащиеся в личном деле лица либо подлежащие включению в его личное дело в соответствии с настоящим Положением.
1.4. Под персональными данными понимается любая информация, относящаяся к данному субъекту персональных данных и необходимая Обществу в связи с трудовыми или иными договорными отношениями, в том числе, но не ограничиваясь:
- фамилия, имя, отчество субъекта персональных данных;
- год, месяц, дата и место рождения субъекта персональных данных;
- адрес проживания (регистрации) субъекта персональных данных;
- образование, профессия субъекта персональных данных;
- доходы, имущество и имущественные обязательства субъекта персональных
данных;
- номер телефона, адрес электронной почты субъекта персональных данных;
1.5. Обработка персональных данных субъекта персональных данных осуществляется исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества, выполнения иных гражданско-правовых договоров, требующих обработки персональных данных субъекта персональных данных.
1.6. Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества). Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в иных случаях, предусмотренных законодательством.
1.7. Персональные данные при их обработке обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях, хранения в отдельных помещениях, запароленных папках или сейфах.
1.8. Субъекты персональных данных имеют право:
- получать доступ к своим персональным данным и на ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
- требовать от оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
- обжаловать в судебном порядке неправомерные действия или бездействия оператора при обработке и защите его персональных данных.
1.9. Копировать и делать выписки персональных данных субъекта персональных данных разрешается исключительно в целях осуществления проекта оператора по развитию RICH BRAIN .
1.10. Передача информации третьей стороне возможна только с письменного согласия субъекта персональных данных с соблюдением настоящего Положения, за исключением случаев, когда такая передача осуществляется в целях осуществления развития RICH BRAIN , исполнения договоров между оператором и субъектами, либо на основании установленных законом обязанностей оператора.
2. Основные понятия. Состав персональных данных
2.1. Для целей настоящего Положения используются следующие основные понятия:
1) обработка персональных данных субъекта персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
2) конфиденциальность персональных данных — обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным субъектов персональных данных, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
3) распространение персональных данных — действия, направленные на передачу персональных данных субъектов персональных данных определенному кругу лиц
(передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в
информационно-телекоммуникационных сетях или представление доступа к персональным данным каким-либо иным способом;
4) использование персональных данных — действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
5) блокирование персональных данных — временное прекращение сбора,
систематизации, накопления, использования, распространения персональных данных субъектов персональных данных, в том числе их передачи;
6) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных субъектов персональных данных или в результате которых уничтожаются материальные носители персональных данных субъектов персональных данных;
7) обезличивание персональных данных — действия, в результате которых
невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
8) общедоступные персональные данные — персональные данные, доступ
неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
9) информация — сведения (сообщения, данные) независимо от формы их
представления;
10) документированная (документальная) информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. Персональные данные обрабатываются Обществом на основе принципов:
1) законности целей и способов обработки и добросовестности;
2) соответствия целей обработки целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых данных, способов обработки целям их обработки;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, лишних по отношению к целям, заявленным при сборе данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.3. Информация, представляемая субъектом персональных данных оператору, должна предоставляться в письменном виде или иметь документальную форму.
2.4. Субъект персональных данных обязан своевременно (в течение не более одного рабочего дня) уведомлять Оператора об изменении своих персональных данных.
3. Обработка персональных данных работников
3.1. Источником информации обо всех персональных данных субъекта персональных данных является непосредственно субъект персональных данных.
3.2. Лица, осуществляющие обработку персональных данных без использования средств автоматизации информируются о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных законодательством и локальными актами Общества согласно разделу 6 настоящего Положения.
3.3. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
3.4. Обработка персональных данных возможна без согласия субъекта только в следующих случаях:
— персональные данные являются общедоступными;
— по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом;
— обработка персональных данных осуществляется для статистических или иных
научных целей при условии обязательного обезличивания персональных данных;
— обработка персональных данных необходима для защиты жизни, здоровья или
иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.
3.5. В целях контроля системы учета персональных данных с периодичностью, определяемой Оператором самостоятельно, проводятся проверки наличия носителей информации, содержащих персональные данные, соблюдение установленного порядка работы с ними.
4. Передача персональных данных
4.1. При передаче персональных данных субъекта персональных данных оператор должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных п. 1.10 настоящего Положения.
4.1.2. Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.
4.1.3. Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.1.4. Не запрашивать информацию о состоянии здоровья субъекта персональных данных.
4.1.5. Передавать персональные данные субъекта персональных данных его законным, полномочным представителям в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
4.3. Вопрос о предоставлении персональных данных должностным лицам государственных органов и другим организациям решает Оператор. Оператор обязан отказать в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации. В этом случае выдается письменное уведомление об отказе в предоставлении персональных данных.
5. Особенности организации обработки и обеспечения защиты персональных
данных
5.1. Обработка персональных данных в Обществе, содержащихся в информационных
системах персональных данных либо извлеченных из таких систем, считается осуществленной без использования средств автоматизации
(неавтоматизированной), поскольку такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не признается осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
5.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
5.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации информируются Оператором и (или) лицом, ответственным за защиту персональных данных о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами Российской Федерации и локальными актами организации.
5.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.7. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
6. Ответственность за нарушение норм, регулирующих обработку персональных
данных
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.
6.2. Субъект персональных данных, по вине которого было допущено нарушение норм, регулирующих получение, обработку и защиту персональных данных других субъектов, может быть привлечен к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.