1.1. Настоящее Положение о защите персональных данных (далее — Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ (глава 14), Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет внутренний порядок обработки и защиты персональных данных у Индивидуального предпринимателя Лукиных Оксаны Михайловны (далее — Оператор).
1.2. Настоящее Положение является внутренним документом и обязательно для исполнения всеми сотрудниками и привлеченными лицами, имеющими доступ к персональным данным.
1.3. Цель Положения — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также установление ответственности лиц, имеющих доступ к персональным данным.
2.1. Оператор осуществляет обработку персональных данных следующих категорий субъектов:
| Категория субъектов | Состав обрабатываемых данных | Правовое основание |
|---|---|---|
| Сотрудники (лица, состоящие в трудовых отношениях с Оператором) | ФИО, паспортные данные, СНИЛС, ИНН, адрес регистрации, номер телефона, сведения об образовании, семейном положении, доходах, реквизиты для перечисления зарплаты | Трудовой кодекс РФ, ст. 86-90 |
| Преподаватели (лица, работающие по договорам ГПХ) | ФИО, паспортные данные, ИНН, номер телефона, банковские реквизиты, сведения об образовании и квалификации | Договор ГПХ, согласие |
| Обучающиеся (Клиенты) (платные услуги) | ФИО, контактный телефон, email, дата рождения, платежные реквизиты | Договор, согласие |
| Участники проекта «Московское долголетие» (безвозмездные проекты) | ФИО, контактный телефон, дата рождения (при необходимости) | Согласие |
| Пользователи сайта | IP-адрес, cookie, данные заполненных форм | Согласие, законный интерес |
2.2. Детальный перечень данных по каждой категории закреплен в разделе 5 Политики обработки персональных данных.
3.1. Все персональные данные получаются Оператором непосредственно от субъекта персональных данных.
3.2. При приеме на работу сотрудник предоставляет персональные данные в объеме, необходимом для заключения и ведения трудового договора. Оператор обязан ознакомить сотрудника с настоящим Положением и Политикой обработки персональных данных под роспись.
3.3. Получение персональных данных у третьей стороны допускается только с предварительного письменного согласия субъекта и с уведомлением его о целях, предполагаемых источниках и способах получения данных.
3.4. Оператор не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях, о частной жизни, за исключением случаев, прямо предусмотренных законом.
3.5. При отказе сотрудника предоставить обязательные для трудовых отношений персональные данные Оператор обязан разъяснить последствия такого отказа (невозможность заключения трудового договора).
4.1. Обработка персональных данных осуществляется Оператором с соблюдением принципов:
4.2. Основания для обработки персональных данных:
4.3. Согласие на обработку персональных данных должно содержать: ФИО субъекта; цель обработки; перечень данных, на обработку которых дается согласие; перечень действий с данными; срок действия согласия и способ отзыва; подпись субъекта.
4.4. Для сотрудников отдельное письменное согласие требуется в случаях: передачи персональных данных третьим лицам; обработки биометрических данных; обработки данных в рекламных или маркетинговых целях.
4.5. Согласия на обработку персональных данных хранятся у Оператора в течение сроков, установленных п. 6.5 Политики обработки персональных данных.
5.1. Право доступа к персональным данным имеют:
5.2. Перечень должностей, допущенных к обработке персональных данных, утверждается приказом Оператора.
5.3. Лица, получившие доступ к персональным данным, обязаны соблюдать конфиденциальность. Запрещается сообщать персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, установленных законом.
5.4. Доступ к персональным данным сотрудников внутри организации предоставляется только специально уполномоченным лицам. При этом указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
6.1. Оператор назначает лицо, ответственное за организацию обработки персональных данных (ответственный сотрудник или лично ИП Лукиных О.М.).
6.2. Для обеспечения защиты персональных данных Оператор принимает следующие организационные меры:
6.3. Технические меры защиты персональных данных включают:
6.4. Хранение персональных данных на бумажных носителях осуществляется в запираемых металлических шкафах (сейфах). По окончании рабочего дня все документы, содержащие персональные данные, убираются в хранилище.
6.5. При обработке персональных данных без использования средств автоматизации (на бумаге) должны соблюдаться правила: бумажные носители хранятся в местах, исключающих доступ посторонних лиц; при необходимости выноса документов за пределы организации требуется разрешение Оператора.
7.1. Передача персональных данных третьим лицам допускается только:
7.2. Перечень организаций, которым персональные данные передаются без согласия в силу закона: Пенсионный фонд РФ (сведения по сотрудникам); Федеральная налоговая служба (отчетность); Фонд социального страхования (отчетность); Военкоматы (сведения о военнообязанных).
7.3. При передаче персональных данных третьим лицам Оператор обязан предупредить получателя о том, что данные могут быть использованы лишь в целях, для которых они сообщены, и требовать подтверждения соблюдения этого правила.
7.4. Трансграничная передача персональных данных Оператором не осуществляется.
8.1. Субъект персональных данных имеет право:
8.2. По письменному запросу субъекта Оператор обязан предоставить информацию о наличии персональных данных, их содержании, источниках получения, сроках обработки и порядке отзыва согласия. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта, и его подпись.
9.1. Персональные данные подлежат уничтожению в следующих случаях: достижение целей обработки; истечение срока действия согласия; отзыв согласия субъектом; выявление неправомерной обработки персональных данных; ликвидация Оператора.
9.2. Сроки хранения персональных данных установлены в п. 6.5 Политики обработки персональных данных:
9.3. Уничтожение персональных данных производится комиссией, назначаемой приказом Оператора. В состав комиссии включаются не менее двух человек.
9.4. Способы уничтожения:
9.5. Об уничтожении персональных данных составляется акт, который подписывается всеми членами комиссии и утверждается Оператором. В акте указываются: дата уничтожения; состав комиссии; перечень (реестр) уничтоженных документов/файлов; способ уничтожения.
9.6. Допускается составление одного акта на группу субъектов при плановом уничтожении данных по окончании проектов или отчетных периодов.
10.1. Лица, виновные в нарушении требований настоящего Положения и законодательства о персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
10.2. Дисциплинарные взыскания применяются в порядке, установленном Трудовым кодексом РФ (замечание, выговор, увольнение).
10.3. Административная ответственность предусмотрена КоАП РФ (ст. 13.11) и может наступать как в отношении должностных лиц, так и в отношении юридических лиц (для ИП штрафы как для должностных лиц).
11.1. Настоящее Положение является обязательным для ознакомления всеми сотрудниками Оператора под роспись.
11.2. Оператор имеет право вносить изменения в настоящее Положение. Новая редакция Положения вступает в силу с момента ее утверждения.
11.3. Контроль за исполнением настоящего Положения возлагается на Оператора (ИП Лукиных О.М.) либо уполномоченное им лицо.