Политика конфиденциальности

I. Общие положения

1.1. Настоящее Положение по обработке персональных данных (далее - Положение) ООО «Научно-техническая фирма НТВ» (далее - Общество) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка Общества.

1.2. Цель разработки Положения - определение порядка обработки персональных данных работников Общества, клиентов и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Общества и действует бессрочно, до замены его новым Положением. Все изменения в Положение вносятся приказом.

1.4. Все работники Общества должны быть ознакомлены с настоящим Положением под роспись.

1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Общества, если иное не определено законом.

II. Основные понятия и состав персональных данных

Общество осуществляет обработку следующих категорий персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; профессия; доходы; национальная принадлежность; гражданство, сведения о контактных телефонах, образование, стаж работы, паспортные данные (номер, дата, кем и когда выдан, код подразделения), сведения о воинском учете, данные о приеме на работу, сведения о переводах на другую работу, сведения об аттестации, сведения о повышении квалификации, сведения о профессиональной переподготовке, сведения о наградах (поощрениях), сведения об отпусках, сведения о социальных гарантиях, сведения о банковских счетах, картах, сведения о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, данные страхового свидетельства государственного пенсионного страхования, адрес электронной почты, владение иностранными языками, сведения о составе семьи (фамилия, имя, отчество, степень родства, год рождения), сведения о социальных льготах, фото, род занятий

Категории субъектов, персональные данные которых обрабатываютсяпринадлежащих: физическим лицам, состоящим с Обществом в трудовых отношениях, и их близким родственникам; соискателям на вакантные должности; физическим лицам, оставившим отзыв, жалобу или предложение в Книге отзывов, жалоб и предложений Общества; физическим лицам, в том числе действующим от юридического лица и/или индивидуального предпринимателя по договоры на выполнение опытно-конструкторских работ, изготовление/восстановление деталей, обратившимся в Общество с помощью форм обратной связи в сети Интернет на его официальном сайте.

2.1. Для целей настоящего Положения используются следующие основные понятия:

 - персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, прямо или косвенно относящаяся к определенному или определяемому лицу (Субъекту персональных данных);

- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия либо иным образом затрагивающих их права и свободы субъектов персональных данных;

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

- информация - сведения (сообщения, данные) независимо от формы их представления.

- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. В состав персональных данных обрабатываемых Обществом входят документы, содержащие информацию о персональных данных работников и клиентов.

2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Общества при его приеме, переводе и увольнении.

2.3.1. Информация, представляемая работником при поступлении на работу в Общество, имеет документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;

- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

- свидетельство о присвоении ИНН (при его наличии у работника);

- свидетельство о рождении ребенка; справка из учебного заведения ребенка.

2.3.2. При оформлении работника в Общество, работником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

- сведения о воинском учете;

- данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

- сведения о переводах на другую работу;

- сведения об аттестации;

- сведения о повышении квалификации;

- сведения о профессиональной переподготовке;

- сведения о наградах (поощрениях), почетных званиях;

- сведения об отпусках;

- сведения о социальных гарантиях;

- сведения о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

- сведения страхового свидетельства государственного пенсионного страхования;

- адрес электронной почты;

- владение иностранным языком;

- сведения о месте жительства и контактных телефонах;

- сведения о близких родственниках работника (ФИО, год рождения, степень родства).

2.3.3. В отделе кадров Общества создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

2.3.3.1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Общества, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

2.3.3.2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Общества); документы по планированию, учету, анализу и отчетности в части работы с персоналом Общества.

2.4. Комплекс документов, сопровождающий процесс оформления сделок, при выполнении Обществом деятельности, направленной на извлечение прибыли в соответствии с Уставом Общества.

 2.4.1. Информация, предоставляемая клиентом Обществу для заключения возмездных Договоров.

- паспорт или иной документ, удостоверяющий личность;

- доверенность на совершение действий в интересах доверителя;

- реквизиты организации;

- контактный номер телефона. 

2.4.2. В Отделе продаж и Бухгалтерии, создаются и хранятся следующие группы документов, содержащие персональные данные клиентов в единичном или сводном виде:

Документы, содержащие персональные данные клиентов (комплексы документов, сопровождающие процесс оформления сделки, урегулирования споров, проведения экспериментальных работ).

2.5. Комплекс документов, сопровождающий процесс выполнения Обществом деятельности, направленной на урегулирование споров и повышение лояльности клиентов.

 2.5.1. Информация, предоставляемая клиентом Обществу для заключения возмездных Договоров.

- паспорт или иной документ, удостоверяющий личность;

- доверенность на совершение действий в интересах доверителя

- реквизиты организации;

- контактный номер телефона.

2.5.2. Отделом продаж в ходе деятельности составляется сводная таблица, в которой отражаются следующие анкетные и биографические данные клиента:

- общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, паспортные данные);

- сведения о месте жительства и контактных телефонах.

2.5.3. Отделом продаж создаются и хранятся следующие группы документов, содержащие персональные данные клиентов в единичном или сводном виде:

Документы, содержащие персональные данные клиентов (комплексы документов, сопровождающие процесс досудебного урегулирования споров и проведение тест-драйва).

III. Сбор, обработка и защита персональных данных

3.1. Порядок получения персональных данных.

3.1.1. Все персональные данные работника или клиента Обществу следует получать от самого субъекта персональных данных. Должностное лицо Общества должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.1.2. Обработка персональных данных Обществом возможна только с согласия субъекта персональных данных, либо без их согласия в следующих случаях:

- персональные данные являются общедоступными;

- персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

- по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3.1.3. Общество вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия.

3.1.4. Письменное согласие на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

 - наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие на обработку персональных данных может быть дано субъектом персональных данных в форме отдельного документа по Форме, согласно приложению № 1 к настоящему Положению, либо быть включено в состав иного, подписываемого субъектом персональных данных документа (Договора, заказ-наряда и т.д.)

3.1.5. К персональным данным, сбор и обработка которых осуществляется через Интернет, относятся:

- анкетные данные (фамилия и/или имя и/или отчество);

- адрес электронной почты;

- номер контактного телефона.

Согласие клиентов на обработку персональных данных подтверждается самой исполнительной надписью на анкете в Интернете (Приложение №2).

3.1.6.  Согласие субъекта персональных данных не требуется в следующих случаях:

 1) обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Оператора;

 2) обработка персональных данных осуществляется в целях исполнения договоров;

 3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

 4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.

3.2. Порядок обработки, передачи и хранения персональных данных.

3.2.1. Порядок обработки, передачи и хранения персональных данных работников Общества:

3.2.1.1. Работник Общества предоставляет работнику отдела кадров Общества достоверные сведения о себе. Работник отдела кадров Общества проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.2.1.2. В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина генеральный директор общества (Работодатель) и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

3.2.1.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.1.2.2. При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

3.2.1.2.3. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2.1.2.4. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.

3.2.1.2.5. Работники и их представители должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.2.1.3. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

 3.2.2.  Порядок обработки, передачи и хранения персональных данных клиентов Общества:

3.2.2.1. Клиент Общества предоставляет уполномоченному работнику Общества достоверные сведения о себе. Работник Общества проверяет достоверность сведений, сверяя данные, предоставленные клиентом, с имеющимися у клиента документами.

3.2.2.2. В целях обеспечения прав и свобод человека и гражданина генеральный директор общества   и его представители при обработке персональных данных клиента должны соблюдать следующие общие требования:

3.2.1.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, заключения и исполнения сделок, а также послепродажного обслуживания, улучшения качества обслуживания и лояльности клиента по отношению к бренду.

3.2.1.2.2. При определении объема и содержания, обрабатываемых персональных данных Общество должно руководствоваться Конституцией Российской Федерации Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», иными федеральными законами.

3.2.1.2.3. При принятии решений, затрагивающих интересы клиента, Общество не имеет права основываться на персональных данных клиента, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2.1.2.4. Защита персональных данных клиента от неправомерного их использования или утраты обеспечивается Обществом за счет его средств в порядке, установленном федеральным законом.

3.2.1.2.5. Клиенты и их представители должны быть ознакомлены с документами Общества, устанавливающими порядок обработки персональных данных клиентов, а также об их правах и обязанностях в этой области путем размещения Обществом выкопировки из настоящего положения в части, касающейся обработки персональных данных клиентов.

3.2.1.3. Во всех случаях отказ клиента от своих прав на сохранение и защиту тайны недействителен.

IV. Передача и хранение персональных данных

4.1. При передаче персональных данных Общество должно соблюдать следующие требования:

4.1.1. Не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом.

4.1.2. Не сообщать персональные данные в коммерческих целях без его письменного согласия субъекта персональных данных. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

4.1.3. Предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.

4.1.4. Осуществлять передачу персональных данных в пределах Общества в соответствии с настоящим Положением.

4.1.5. Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.2. Хранение и использование персональных данных:

4.2.1. Персональные данные работников обрабатываются и хранятся в отделе кадров. Ответственным за хранение персональных данных является Начальник отдела кадров, либо сотрудник, выполняющий его обязанности.

4.2.1.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе.

4.2.1.2. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные настоящим Федеральным законом права субъекта персональных данных.

4.2.2. Персональные данные клиентов, физических лиц, оставляющих сообщения на сайте, физических лиц, оставляющих сообщения в книге жалоб и предложений, обрабатываются и хранятся в Отделе продаж. Ответственным за хранение является начальник соответствующего Отдела по направлению деятельности, либо лица, исполняющие их обязанности.

4.2.2.1. Персональные данные клиентов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе.

4.2.3. Персональные данные, хранящиеся с использованием средств автоматизации хранятся на удаленном сервере Общества, безопасность и хранениеперсональных данных осуществляется на сервере и обеспечивается Индивидуальный предприниматель Майстришин Александр Павлович, договор с которым заключен Обществом.

V. Доступ к персональным данным

5.1. Право доступа к персональным данным работников имеют:

 - Генеральный директор общества;

- заместитель Генерального директора;

- исполнительный директор;

- сотрудники Отдела продаж;

-  сотрудники отдела Производства;

- сотрудники Бухгалтерии.

5.2. субъекты персональных данных имеет право:

5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные.

5.2.2. Требовать от Общества уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для деятельности Общества персональных данных.

5.2.3. Получать от Общества

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.3.   Требовать извещения обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его персональных данных.

VI. Сроки хранения и порядок утилизации документов, содержащих персональные данные:

Ежегодно, в срок до истечения первого квартала каждого календарного года Комиссией по уничтожению документов в составе Начальников отделов Общества, согласно штатному расписанию отбираются документы с истекшим сроком хранения за истекший период.

Отобранные документы заносятся в Акт об уничтожении и уничтожаются путем сжигания в металлическом контейнере, расположенном на полигоне, непосредственно примыкающем к зданию (автоцентру) Общества.

VII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Работники Общества, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

VIII. Меры, по обеспечению безопасности персональных данных

Меры по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации:

-Определение категорий работников, имеющих доступ к персональным данным в соответствии с категориями обрабатываемых персональных данных;

- Контроль доступа на территорию Общества с привлечением сил Частного охранного предприятия;

-Обеспечение видеонаблюдения на территории Общества;

-Ограничение доступа в места обработки персональных данных с помощью систем электронного доступа;

Ограничение доступа работников Общества (в соответствии с уровнем доступа) к местам хранения и обработки различных категорий персональных данных с помощью систем электронного доступа;

-Оборудование мест хранения отдельными электронными замками.

-Оборудование мест хранения и обработки персональных данных решетками на окнах (при наличии), в случае, если такие места находятся на первых и последних этажах здания;

-Ежеквартальная переоценка уровня защищенности помещений Общества и мер принимаемых к защите персональных данных.

 Меры по обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации:

-Определение категорий работников, имеющих доступ к персональным данным в соответствии с категориями обрабатываемых персональных данных;

-Обеспечение доступа к средствам автоматизации через индивидуальные логин и пароль;

-Учет средств автоматизации;

Хранение съемных носителей персональных данных в сейфах внутренними замками с приспособлениями для опечатывания

-Ежеквартальная переоценка уровня защищенности средств автоматизации Общества и мер принимаемых к защите персональных данных.