Политика конфиденциальности

Дата вступления в силу: 20 ноября 2014 г.
ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящее Положение определяет порядок обращения с персональными данными физических лиц, являющихся работниками, клиентами и контрагентами а также являющихся представителями клиентов и контрагентов (далее — Субъекты персональных данных) Общества с ограниченной ответственностью «Про Капитал Сибирь» (далее – «Компания»), основные правила работы с персональными данными, порядок обработки и защиты персональных данных, а также права и обязанности Субъектов персональных данных и Компании в связи с использованием ими персональных данных.
1.2. Настоящее Положение разработано на основании Конституции Российской Федерации, Трудового Кодекса Российской Федерации, Федерального закона «О персональных данных» и иных нормативных правовых актов Российской Федерации.
1.3. Сведения о персональных данных Субъектов персональных данных Компании относятся к числу конфиденциальной информации, хотя, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится. Режим конфиденциальности персональных данных снимается в случаях обезличивания, по истечении срока хранения, установленного законодательством и в других случаях, предусмотренных федеральными законами.
1.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные носители информации.
1.5. Настоящее Положение утверждается и вводится в действие приказом Генерального директора и является обязательным для исполнения всеми работниками Компании.

2. Основные понятия

2.1. Персональные данные – любая информация прямо или косвенно, относящаяся к Субъекту персональных данных, позволяющая идентифицировать его личность и необходимая Компании в связи с трудовыми и/или гражданско-правовыми отношениями.
2.2. Документы, содержащие персональные данные, – копии личных документов, анкеты, заявления Субъектов персональных данных, а также другие документы содержащие персональные данные Субъектов персональных данных.
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Работник – физическое лицо, вступившее в трудовые отношения с Компанией на основании заключенного трудового договора.
2.5. Клиент – физическое лицо, вступившее в гражданско-правовые отношения с Компанией в целях получения гостиничных и иных связанных с ними услуг, а также физическое лицо, являющееся потенциальным клиентом Компании.
2.6. Контрагент – физическое лицо, вступившее в гражданско-правовые отношения с Компанией в целях поставки товаров, выполнения работ, оказания услуг в пользу Компании, а также физическое лицо, являющееся потенциальным контрагентом Компании.
2.7. Представитель клиента/контрагента – физическое лицо, уполномоченное действовать от имени физического или юридического лица, вступившего в гражданско-правовые отношения с Компанией в целях получения гостиничных и иных связанных с ними услуг или поставки товаров (выполнения работ, оказания услуг) в пользу Компании, соответственно.
2.8. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.9. Конфиденциальность персональных данных – обязательное для Компании и ее работников, а также иных лиц, получившим доступ к персональным данным требование не допускать их распространения без согласия Субъекта персональных данных или наличия законного основания.

3. Общие принципы

3.1. Обработка персональных данных в Компании подчиняется следующим принципам:
• законности;
• всемерной защиты персональных данных от неправомерного использования, искажения или утраты;
• разумной минимизации количества обрабатываемых персональных данных;
• конфиденциальности сведений о персональных данных;
• соответствия целям обработки, заявленных при сборе персональных данных.
3.2. При определении объема и содержания персональных данных, необходимых Компании, Компания руководствуется Конституцией Российской Федерации, Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами.
3.3. Обработка персональных данных Компанией может осуществляться исключительно в целях:
• обеспечения соблюдения законов и иных нормативных правовых актов;
• трудоустройства работников;
• оказания услуг клиентам;
• содействия работникам в обучении и продвижении по службе;
• обеспечения личной безопасности работников;
• контроля количества и качества выполняемой работы;
• обеспечения сохранности имущества.
3.4. Обработка персональных данных Субъектов персональных данных, кроме указанных в п.3.3. настоящего Положения, может осуществляться исключительно в целях исполнения Компанией договорных обязательств.

4. Состав персональных данных

4.1. Информация, представляемая работником при поступлении на работу
Информация, представляемая работником при поступлении на работу в Компанию, должна иметь документальную форму. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса РФ лицо, поступающее на работу, предъявляет:
• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
• страховое свидетельство государственного пенсионного страхования;
• документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;
• документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
• справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, — при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с Трудовым кодексом, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.
В отдельных случаях с учетом специфики работы настоящим Кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.
4.1.1. Анкетные и биографические данные работника, необходимые при заполнении унифицированной формы Т-2
При трудоустройстве в Компанию отделом персонала на каждого работника заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
• общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные, место жительства, контактные телефоны);
• сведения о воинском учете;
• данные о приеме на работу;
• сведения об аттестации;
• сведения о повышенной квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях.
4.1.2. Группы документов, хранящиеся в отделе персонала
В отделе персонала Компании создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
• комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
• комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
• подлинники и копии приказов (распоряжений) по кадрам;
• личные дела и трудовые книжки;
• основания к приказам и приказы по личному составу;
• дела, содержащие материалы аттестаций работников;
• дела, содержащие материалы внутренних расследований;
• справочно-информационный банк данных по персоналу (журналы);
• подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Компании, руководителям структурных подразделений;
• копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
4.2. Иная информация, предоставляемая Субъектами персональных данных
Информация, представляемая Субъектами персональных данных должна иметь документальную форму.
Субъекты персональных данных, взаимодействующие с Компанией с целью получения гостиничных и иных связанных с ними услуг, поставки товара, выполнения работ или оказания услуг, предъявляют соответствующему подразделению Компании в зависимости от целей взаимодействия следующие документы:
• паспорт гражданина Российской Федерации или иной документ, удостоверяющий личность;
• паспорт иностранного гражданина, миграционную карту, если Субъект персональных данных – гражданин иностранного государства;
• свидетельство о рождении (для лиц, не достигших 14 лет);
• свидетельство о постановке на налоговый учет;
• страховое свидетельство государственного пенсионного страхования;
• медицинскую книжку;
• свидетельство о регистрации в качестве индивидуального предпринимателя.
Подразделение, осуществляющее взаимодействие с Субъектом персональных данных, копирует предъявленные документы, обеспечивает их хранение и архивирование.

5. Сбор, обработка и хранение персональных данных

5.1. Порядок получения персональных данных.
5.2. Все персональные данные Субъекта персональных данных следует получать у него самого. Субъект персональных данных отвечает за достоверность информации, которую он предоставляет Компании о себе.
5.3. Предоставление работником подложных сведений или заведомо ложных документов при заключении трудового договора дает право Работодателю расторгнуть с этим работником трудовой договор на основании пункта 11 статьи 81 Трудового кодекса Российской Федерации.
5.4. Если персональные данные Субъекта персональных данных возможно получить только у третьей стороны, то от Субъекта персональных данных должно быть получено письменное согласие на соответствующий запрос. Субъект персональных данных может уполномочить своего работодателя или лицо, состоящее с Субъектом персональных данных в гражданско-правовых отношениях, на соответствующие обращения к третьим сторонам в необходимых случаях.
5.5. Компания не будет получать и обрабатывать персональные данные Субъектов персональных данных:
• об их политических, религиозных и иных убеждениях и частной жизни;
• о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом или иными федеральными законами Российской Федерации;
• о состоянии здоровья Субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Субъектом персональных данных принятых на себя обязательств.
5.6. При получении персональных данных не от Субъекта персональных данных (за исключением случаев, если персональные данные являются общедоступными) Компания до начала обработки таких персональных данных обязана предоставить Субъекту персональных данных следующую информацию:
• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные федеральными законами права Субъекта персональных данных.
5.7. Порядок обработки и передачи персональных данных
5.8. При обработке персональных данных Компания должна соблюдать следующие общие требования:
• обработка персональных данных должна соответствовать целям, заявленным при сборе персональных данных;
• при определении объема и содержания, обрабатываемых персональных данных Компания должна руководствоваться Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «О персональных данных» и иными нормативными правовыми актами Российской Федерации;
• при принятии решений, затрагивающих интересы Субъекта персональных данных, Компания не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• защита персональных данных от неправомерного их использования или утраты должна быть обеспечена Компанией за счет ее средств в порядке, установленном федеральным законом;
• работники и их представители должны быть ознакомлены под роспись с локальными нормативными актами Компании, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области, работники не должны отказываться от своих прав на сохранение и защиту тайны;
• у Субъекта персональных данных должно быть получено письменное согласие на обработку персональных данных.
5.9. Обработка персональных данных Компанией возможна только с согласия Субъектов персональных данных либо без их согласия в следующих случаях:
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья Субъекта персональных данных, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия Субъекта персональных данных невозможно;
• по требованию полномочных государственных органов;
• в случаях, предусмотренных федеральным законом.
Компания предупреждает Субъектов персональных данных о том, что эти данные могут быть использованы в целях, для которых они сообщены.
5.10. Порядок хранения и использования персональных данных
5.11. Порядок хранения и использования персональных данных в Компании осуществляется с соблюдением действующего законодательства в области персональных данных, в соответствии с «Положением о коммерческой тайне и конфиденциальной информации» и «Порядком работы со сведениями, составляющими коммерческую тайну и конфиденциальную информацию».
5.12. Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование.
5.13. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.14. Персональные данные на бумажных носителях хранятся отдельно от иных документов, в шкафах и ящиках, в соответствующих подразделениях Компании. Доступ к ящикам и в помещения, в которых хранятся персональные данные ограничен кругом лиц, имеющих право на обработку персональных данных.
5.15. Трудовые книжки и личные дела Работников хранятся в специально оборудованном запирающемся сейфе. После увольнения Работника личное дело дополняется соответствующими документами, составляется окончательная опись и личное дело передается для хранения в архив.
5.16. После оказания услуг клиентам, документы, содержащие их персональные данные, передаются в архив, доступ в архивную комнату ограничен.
5.17. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.18. Хранение персональных данных Работников, клиентов/представителей клиентов и контрагентов/представителей контрагентов Компании в электронном виде осуществляется с помощью специализированных программ, используемых в Компании (1С, Opera и другие).
5.19. По истечении срока хранения источники персональных данных Субъектов персональных данных подлежат уничтожению.
5.20. Работникам Компании, чья работа непосредственно связана с персональными данными Субъектов персональных данных, не разрешается при выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми.
5.21. На рабочем столе работников Компании, чья работа непосредственно связана с персональными данными работников, всегда должны находиться только те документы, с которыми они в настоящее время работают. В конце рабочего дня все документы, имеющие отношение к персональным данным работников, должны быть убраны в места временного хранения (шкафы, сейфы и др.).
5.22. Работа с информационной базой, содержащей персональные данные, подлежит строгому контролю.

6. Доступ к персональным данным

6.1. Внутренний доступ (передача персональных данных внутри Компании)
6.2. Передача персональных данных Субъектов персональных данных в пределах Компании осуществляется с соблюдением правил, установленных законодательством, настоящим Положением и распоряжениями руководства Компании, таким образом, чтобы обеспечивалась конфиденциальность этих данных, их защиту от неправомерного использования или утраты.
6.3. Доступ к персональным данным разрешается только специально уполномоченным лицам, при этом указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
6.4. К персональным данным Работников могут иметь доступ:
• генеральный директор;
• заместитель генерального директора-генеральный управляющий;
• работники отдела персонала;
• инженер по охране труда и пожарной безопасности;
• начальник службы безопасности;
• руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения);
• при переводе из одного структурного подразделения в другое, доступ к персональным данным Работника может иметь Руководитель нового подразделения;
• сам Работник – носитель данных;
• работники финансового отдела, в чьи должностные обязанности входит работа с персональными данными;
• работники, чьи должностные обязанности напрямую связаны с настройкой и обслуживанием программного обеспечения Компании, представители компании-провайдера, оказывающей услуги по IT поддержке систем Компании.
6.5. К персональных данным Субъектов персональных данных, не указанных в п.6.4. настоящего Положения, могут иметь доступ:
• работники службы приема и размещения;
• начальник службы безопасности;
• заместитель генерального директора-генеральный управляющий;
• инженер по охране труда и пожарной безопасности;
• другие работники Компании, в чьи должностные обязанности входит работа с персональными данными Субъектов персональных данных.
6.6. Для обеспечения безопасности и защиты персональных данных действия по обработке персональных данных осуществляются только работниками Компании либо лицами, состоящими в договорных отношениях с Компанией, которые уполномочены на данные действия распоряжением Генерального директора Компании и в пределах, необходимых для осуществления их трудовой функции либо исполнения договора.
6.7. В Компании производится учет компьютеров, на которых осуществляется обработка персональных данных Субъектов персональных данных.
6.8. Персональные данные в электронном виде хранятся на отдельном сервере. Доступ работников Компании, допущенных к обработке персональных данных, к программам Opera и 1С возможен только по индивидуальному паролю и ограничен действиями, которые необходимы для осуществления трудовой функции. Доступ к серверу возможен только лицам, ответственным за настройку и контроль функционирования сервера.
6.9. Лица, ответственные за организацию сбора, обработки и хранения персональных данных, назначаются приказом Генерального директора Компании. Данные лица вправе осуществлять контроль и (или) аудит соответствия сбора, обработки и хранения персональных данных нормам законодательства Российской Федерации, а также настоящего Положения.
6.10. Внешний доступ (передача персональных данных за пределы Компании)
В случаях, установленных законом или согласием Субъекта персональных данных, Компания может передавать персональные данные Субъектов персональных данных другим организациям, государственным органам или отдельным лицам. При передаче персональных данных за пределы Компании Компания должна соблюдать следующие требования:
• не сообщать персональные данные третьей стороне без письменного согласия Субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта персональных данных, а также в случаях, установленных федеральным законом;
• не сообщать персональные данные Субъекта персональных данных в коммерческих целях без его письменного согласия;
• не отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу даже с согласия Субъекта персональных данных.
6.11. Согласие на передачу данных может быть выражено в произвольной форме, путем заполнения специальной формы, либо отражено в трудовом договоре с Работником.
6.12. Работодатель будет предупреждать лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.
6.13. Сведения об уже уволенном Работнике могут быть представлены другой организации только с письменного запроса на бланке данной организации, с приложением копии нотариально заверенного заявления Работника либо оригинала заявления.

7. Использование персональных данных
7.1 Порядок использования Компанией персональных данных устанавливается приказами (распоряжениями) Генерального директора с соблюдением требований законодательства Российской Федерации, настоящего Положения и других локальных нормативных актов.
7.2 Допускается автоматизированная обработка персональных данных и их электронное получение.
7.3 В случае выявления неправомерной обработки персональных данных либо неточных персональных данных при обращении Субъекта персональных данных или его представителей либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки.

8. Права и обязанности субъектов персональных данных и Компании
В целях обеспечения защиты персональных данных, хранящихся в Компании:
8.1 Субъекты персональных данных имеют право:
• быть ознакомленными под роспись с документами Компании, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;
• на получение полной информации об их персональных данных и обработке этих данных;
• быть ознакомленными с перечнем обрабатываемых персональных данных и источником их получения;
• быть ознакомленными с целью и способами обработки его персональных данных;
• на получение сведений о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• быть ознакомленными со сроками обработки персональных данных, в том числе со сроками их хранения;
• быть проинформированными о том, какие юридические последствия может повлечь за собой обработка их персональных данных;
• на отзыв ранее данного согласия на обработку персональных данных;
• на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, в течение трех рабочих дней со дня обращения за исключением случаев, предусмотренных федеральным законом;
• на требование об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением законодательства; персональные данные оценочного характера Субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
• на требование об извещении Компанией всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• на обжалование в суде неправомерных действий или бездействия Компании при обработке и защите его персональных данных;
• на защиту своих прав и законных интересов в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.2 Субъекты персональных данных обязаны:
• предоставлять только достоверные персональные данные;
• своевременно информировать об изменении своих персональных данных.
8.3 Компания имеет право:
• на получение достоверных персональных данных от Субъектов персональных данных;
• при необходимости требовать документального подтверждения Субъектом персональных данных его персональных данных.
8.4 Компания обязана:
• обеспечить надлежащую сохранность полученных персональных данных;
• обеспечить защиту персональных данных от неправомерного их использования или утраты за свой счет средств в порядке, установленном Трудовым Кодексом и иными федеральными законами РФ;
• не сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

9. Ответственность
9.1 Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только завладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация и пр.
9.2 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников Компании, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами РФ.
9.3 Каждый работник Компании, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.4 За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера Компания вправе применять предусмотренные Трудовым Кодексом Российской Федерации дисциплинарные взыскания.
9.5 Должностные лица, в обязанность которых входит ведение персональных данных Работника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации, – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.