1.1. Акционерное общество «НеваЛаб» (АО «НеваЛаб») (далее по тексту – АО «НеваЛаб» или Работодатель), выполняя требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», публикует в свободном доступе настоящее Положение о политике в отношении персональных данных, их обработке и защите (далее по тексту - Положение).
1.2. Все указанные в настоящем документе сведения основаны на требованиях Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Трудового Кодекса РФ, подзаконных нормативных актов, Устава АО «НеваЛаб», локальных нормативных актов АО «НеваЛаб».
2.1. Для целей настоящего Положения используются следующие основные понятия:
2.1.1. персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу - субъекту персональных данных;
2.1.2. оператор персональных данных, оператор – АО «НеваЛаб», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.1.3. обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.1.4. распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
2.1.5. предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
2.1.6. блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.1.7. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;
2.1.8. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 N152-ФЗ).
3.1. АО «НеваЛаб» обрабатывает персональные данные работников, соблюдая требования законодательства и исключительно в целях трудоустройства, оформления трудовых отношений, получения работниками образования и продвижения по службе, контроля количества и качества выполняемой работы, обеспечения безопасности работников и сохранности имущества.
3.2. Любые сведения личного характера – о состоянии здоровья, составе семьи, судимости, наличии несовершеннолетних детей и иждивенцев и т.д. – АО «НеваЛаб» обрабатывает только для целей трудовых отношений и предоставления гражданам гарантий и компенсаций, положенных по закону и локальным нормативным актам АО «НеваЛаб».
3.3. Состав персональных данных.
Если иное не установлено Трудовым кодексом РФ, другими федеральными законами, при заключении трудового договора лицо, поступающее на работу, предъявляет Работодателю:
* паспорт или иной документ, удостоверяющий личность;
* трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой, повреждением или по другим причинам;
* страховое свидетельство обязательного пенсионного страхования;
* документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
* документ об образовании и (или) квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
* справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к выполнению которой в соответствии с Трудовым кодексом РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию) (п.п. 14, 15 Административного регламента, утвержденного Приказом МВД России от 07.11.2011 N 1121);
* дополнительные документы - в отдельных случаях, предусмотренные Трудовым кодексом РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ.
АО «НеваЛаб» обрабатывает персональные данные работников в соответствии:
* с Трудовым кодексом РФ, другими федеральными законами и подзаконными нормативными актами, содержащими нормы трудового права;
* Уставом;
* трудовыми договорами, договорами о материальной ответственности, ученическими договорами, которые АО «НеваЛаб» заключает с работниками;
* согласием на обработку персональных данных;
* обязательством о неразглашении персональных данных.
5.1. АО «НеваЛаб» обрабатывает любые персональные данные следующих субъектов персональных данных:
* работников, бывших работников, кандидатов на замещение вакантных должностей, а также родственников работников и иных лиц в целях трудовых отношений;
* клиентов и контрагентов – физических лиц;
* представителей или работников, клиентов и контрагентов – юридических лиц;
* граждан, выполняющих работу по гражданско-правовым договорам.
В АО «НеваЛаб» не допускается обработка следующих категорий персональных данных:
* о состоянии здоровья, когда это не связано с выполнением работы;
* о расовой и национальной принадлежности;
* политических взглядах;
* религиозных или философских убеждениях;
* интимной и частной жизни;
* судимости;
за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.
5.2. Конфиденциальная информация о работниках и бывших работниках:
* фамилия, имя, отчество, возраст, дата рождения;
* паспортные данные;
* анкетные и биографические данные;
* образование, специальность, квалификация, трудовой стаж, опыт работы;
* повышение квалификации, профессиональная переподготовка, независимая оценка квалификации, аттестация;
* занимаемая должность или выполняемая работа;
* сведения о воинском учете;
* социальные гарантии и льготы и основания для них;
* состояние здоровья работника, результаты медицинского обследования, психиатрического освидетельствования;
* адрес места жительства, номер телефона;
* состав семьи работника;
* сведения о состоянии здоровья членов семьи работника;
* сведения о необходимости ухода за больным членом семьи;
* сведения об усыновлении и удочерении;
* иные факты, на основании которых работникам по закону и локальным нормативным актам АО «НеваЛаб» должны быть предоставлены гарантии и компенсации;
* сведения о заработной плате работника;
* наличие судимостей;
* сведения о месте работы или учебы членов семьи и родственников;
* содержание трудового договора;
5.3. Документы, содержащие персональные данные работников:
* комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
* комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
* подлинники и копии приказов (распоряжений) по кадрам;
* трудовые книжки;
* дела, содержащие материалы по обучению (повышению квалификации) работников;
* дела, содержащие материалы внутренних расследований;
* справочно-информационный банк данных по персоналу (картотеки, журналы);
* подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству АО «НеваЛаб», руководителям структурных подразделений;
* копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
* документация по организации работы структурных подразделений (положения, приказы, указания руководства, документы планирования, анализа и отчетности по вопросам кадровой работы).
6.1. В АО «НеваЛаб» организована система конфиденциального делопроизводства. Система обеспечивает создание, движение и хранение документов по личному составу и иных документов, содержащих персональные данные, таким образом, чтобы исключить несанкционированное использование этих сведений.
6.2. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
6.3. Обработка персональных данных работников работодателем возможна только с их согласия. Исключения составляют случаи, предусмотренные законодательством РФ (в частности, согласие не требуется при наличии оснований, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, п. п. 2 - 10 ч. 2 ст. 10, ч. 2 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ).
6.4. Доступ к персональным данным в АО «НеваЛаб» имеют только те работники, кому это необходимо для исполнения должностных обязанностей:
* Генеральный директор АО «НеваЛаб»;
* директор по техническому обеспечению;
* работники отдела персонала;
* работники бухгалтерии;
* работники отдела технического обеспечения;
* ведущий юрист;
* руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения);
* сам работник, носитель данных.
Работники, получающие доступ к персональным данным, дают письменное обязательство о неразглашении конфиденциальных сведений. За нарушение правил обработки и хранения персональных данных, ставших им известным по работе, работники привлекаются к дисциплинарной ответственности вплоть до увольнения.
6.5. Внешний допуск к персональным данным работников имеют сотрудники контрольно-ревизионных органов при наличии документов, являющихся обоснованием к работе с персональными данными.
Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
- налоговые органы;
- правоохранительные органы;
- Росфинмониторинг;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
- саморегулируемые организации, членом которых является АО "НеваЛаб".
6.5.1. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
6.5.2. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
6.6. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
* Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом РФ или иными федеральными законами.
* Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
* Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное правило не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
* Осуществлять передачу персональных данных работников в пределах АО «НеваЛаб» и в соответствии с настоящим Положением, с которым работники должны быть ознакомлены под подпись.
* Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
* Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
* Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
6.7. Персональные данные работников обрабатываются и хранятся в отделе персонала, бухгалтерии, отделе технического обеспечения.
6.8. Хранение персональных данных работников осуществляется на электронных носителях и в бумажном виде.
6.9. К персональным данным, хранящимся в электронном виде, доступ ограничен кругом лиц, непосредственно работающих с ними и сотрудниками отдела технического обеспечения.
6.10. Доступ к программному обеспечению, а также к персональной информации, хранящейся на электронных носителях, строго регламентирован и осуществляется при введении личного идентификатора и пароля пользователя.
6.11. Документы персонального характера хранятся в сейфах работников подразделений, ответственных за ведение и хранение таких документов.
6.12. Помещения, в которых хранятся персональные данные работников, оборудуются надежными замками и системой сигнализации.
6.13. При хранении персональных данных Работодатель обеспечивает:
6.13.1. проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
6.13.2. своевременное обнаружение фактов несанкционированного доступа к персональным данным;
6.13.3. недопущение воздействия на технические средства автоматизированной обработки персональных данных или на бумажные документы, в результате которого может быть нарушено их функционирование;
6.13.4. возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.13.5. постоянный контроль за обеспечением уровня защищенности персональных данных.
6.14. В случаях, предусмотренных законом, АО «НеваЛаб» обрабатывает персональные данные без специального согласия на то субъекта персональных данных. В остальных ситуациях АО «НеваЛаб» предлагает субъекту оформить персональное и конкретное письменное согласие на обработку персональных данных. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных.
6.15. АО «НеваЛаб» хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату или неправомерное использование.
АО «НеваЛаб» передает персональные данные в порядке, установленном законодательством. Персональные данные передаются только с письменного согласия субъекта, за исключением случаев, предусмотренных законом.
6.16. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
6.17. При получении персональных данных не от работника (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ), Работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
* наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
* цель обработки персональных данных и ее правовое основание;
* предполагаемые пользователи персональных данных;
* установленные Федеральным законом от 27.07.2006 N 152-ФЗ права субъекта персональных данных;
* источник получения персональных данных.
7.1. Работодатель обязан соблюдать следующие основные требования при обработке персональных данных:
7.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
7.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
7.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
7.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
7.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
7.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
7.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
7.1.8. Работники и их представители должны быть ознакомлены под роспись с документами Работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
7.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
7.2. Обязанности работника:
7.2.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.
7.2.2. Своевременно, в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
7.4. Права Работника:
7.4.1. На полную информацию о своих персональных данных и обработке этих данных.
7.4.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.4.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
7.4.4. Требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
7.4.5. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.4.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
7.4.7. Определять своих представителей для защиты своих персональных данных.
8.1. АО «НеваЛаб» при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора блокирует неправомерно обрабатываемые персональные данные этого субъекта с момента обращения или получения запроса на период проверки.
8.2. АО «НеваЛаб» на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня предоставления таких сведений.
8.3. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, соответственно в срок, не превышающий трех рабочих дней.
8.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению в срок, не превышающий тридцати дней с даты достижения целей обработки персональных данных, если:
* иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
* оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
* иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
Исключения:
* кандидат на работу желает остаться в кадровом резерве.
8.5. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
8.6. АО «НеваЛаб» хранит персональные данные в рамках конфиденциального делопроизводства в порядке, исключающем их утрату и неправомерное использование.