Приложение No 1 к Приказу No 56 от «01» апреля 2019 г.

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ в АО «БИГ Телеком»

1. ОСНОВНЫЕ ПОНЯТИЯ

1.1. Для целей настоящего Положения об обработке персональных данных в АО «БИГ Телеком» (далее – Положение) используются следующие основные понятия:

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая АО «БИГ Телеком» (далее – Организация) в связи с трудовыми, гражданско-правовыми и иными отношениями;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

- конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- использование персональных данных - действия (операции) с персональными данными, совершаемые работником Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных

данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

- информация - сведения (сообщения, данные) независимо от формы их представления;

1.2. Используемые в настоящем Положении и его неотъемлемых частях понятия и термины применяются единообразно в соответствии с их значением, принятым в Положении, а в случае отсутствия такого определения, с их значением, принятым в соответствующих нормативных правовых актах, исключающем возможность их различного толкования.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Цели и сфера действия Положения.

2.1.1. Положение определяет порядок и условия обработки, а также защиты персональных данных субъектов в АО «БИГ Телеком».

2.1.2. Положение разработано в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных и направлено на обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности работников Организации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.1.3. Положение распространяется на отношения в области обработки персональных данных, возникшие у Организации как до, так и после утверждения настоящего Положения.

2.2. Нормативно-правовое регулирование в области персональных данных.

2.2.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. No 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. No 152-ФЗ «О персональных данных», в соответствии с иными действующими нормативными правовыми актами в области обработки и защиты персональных данных, а также Правилами внутреннего трудового распорядка для работников АО «БИГ Телеком».

2.3. Принципы обработки персональных данных.

2.3.1. Обработка персональных данных осуществляется на основе следующих принципов:

- законности целей и способов обработки персональных данных и добросовестности;

- соответствия целей обработки персональных данных заранее определенным и заявленным целям при их сборе, а также полномочиям Организации;

- соответствия содержания и объема обрабатываемых персональных данных, способов их обработки определенным и заявленным целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки персональных данных, недопустимости обработки персональных данных, избыточных по отношению к заранее определенным и заявленным целям при их сборе;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Организацией не производится обработка персональных данных, несовместимая с целями их сбора.

2.4. Условия обработки персональных данных.

2.4.1. Обработка персональных данных допускается в следующих случаях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для

осуществления и выполнения возложенных законодательством Российской Федерации на Организацию функций, полномочий и обязанностей;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Организацией своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.5. Порядок получения персональных данных.

2.5.1. Получение персональных данных должно производиться непосредственно у субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации, получения персональных данных с использованием информационно-телекоммуникационных сетей (в том числе, посредством указания физическими лицами необходимых регистрационных данных на Интернет- ресурсах Организации), а также получения персональных данных из общедоступных источников.

Получение персональных данных субъекта персональных данных у третьих лиц осуществляется в соответствии с порядком, предусмотренным действующим законодательством Российской Федерации.

2.5.2. При получении персональных данных в обязательном порядке осуществляется проверка их достоверности посредством сверки сведений, предоставляемых субъектом персональных данных, с имеющимися у него соответствующими подлинниками документов, за исключением случаев осуществления сбора персональных данных с использованием информационно-телекоммуникационных сетей (в том числе, посредством указания физическими лицами необходимых регистрационных данных на Интернет- ресурсах Организации), а также получения персональных данных из общедоступных источников.

2.6. Способы обработки персональных данных.

2.6.1. Организация осуществляет обработку персональных данных следующими способами:

- без использования средств автоматизации. При этом, обработка персональных данных, содержащихся в информационных системах Организации, либо извлеченных из таких систем, осуществляется при непосредственном участии уполномоченных работников Организации.

2.7. Особенности обработки персональных данных.

2.7.1. При обработке персональных данных должна обеспечиваться их конфиденциальность, за исключением:

- обезличенных персональных данных;
- общедоступных персональных данных.
2.7.2. При несовместимости целей обработки персональных данных, зафиксированных

на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

2.7.3. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.7.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.7.5. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также с соблюдением требований, предусмотренных действующими нормативными правовыми актами.

2.7.6. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

2.8. Хранение персональных данных.

2.8.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если их иной срок хранения не установлен действующим законодательством Российской Федерации, либо договором, стороной которого является субъект персональных данных (по окончании обработки персональных данных в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией персональные данные уничтожатся или обезличиваются, за исключением случаев соблюдения иных сроков хранения персональных данных).

2.8.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

2.8.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.8.4. В отношении каждой категории персональных данных определяются места хранения персональных данных (материальных носителей), при этом хранение персональных данных, обработка которых осуществляется в различных целях, обеспечивается раздельно.

2.9. Предоставление персональных данных.

2.9.1. Обрабатываемые Организацией персональные данные предоставляются третьим лицам с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

2.9.2. В случаях, предусмотренных действующим законодательством Российской Федерации, предоставление обрабатываемых Организацией персональных данных производится по письменным запросам государственных и/или иных органов и/или организаций, имеющих, в соответствии с нормативными правовыми актами, право на получение соответствующих персональных данных, в письменной форме.

2.9.3. Не допускается передача третьим лицам информации, содержащей персональные данные, по телефону или незащищенным телекоммуникационным каналам связи (в том числе факсимильной связью и/или по электронной почте).

3. СУБЪЕКТЫ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъекты персональных данных.

3.1.1. Организацией осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

- Работников – лиц состоящих и/или состоявших с Организацией в трудовых и иных, непосредственно связанных с ними отношениях, включая лиц, претендующих и/или претендовавших на трудоустройство в Организацию (кандидатов на вакантные должности), акционеров Организации;

- Абонентов – физических лиц и/или индивидуальных предпринимателей, состоящих и/или состоявших с Организацией (лицом, представителем которого является Организация) в гражданско-правовых (договорных) отношениях, включая пользователей по договорам на оказание услуг связи и потенциальных пользователей и/или представителей данных лиц, а также конечных пользователей услуг связи абонентов-юридических лиц и индивидуальных предпринимателей.

3.2. Категории персональных данных.

3.2.1. Общие персональные данные, обработка которых осуществляет Организация и к которым относятся персональные данные, позволяющие идентифицировать субъекта персональных данных, включая общедоступные, а также обезличенные персональные данные.

3.2.2. Специальные категории персональных данных (персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), обработка которых не осуществляет Организация, если иное не предусмотрено настоящим Положением, а также действующим законодательством Российской Федерации. На пример, персональные данные, относящиеся к состоянию здоровья могут запрашиваться и/или обрабатываться

Организацией в части сведений, касающихся вопросов возможности выполнения Работниками своих трудовых функций.

3.2.3. Биометрические персональные данные, к которым относятся сведения, характеризующие физиологические особенности человека и на основе которых можно установить его личность, обработка которых осуществляется согласно локальным нормативным актам Организации, а также с согласия субъекта персональных данных в письменной форме, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

4. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

4.1. Общие положения.

4.1.1. Для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, Организация при их обработке принимает (обеспечивает принятие) необходимые правовые, организационные и технические меры.

4.1.2. Организация работ по обеспечению безопасности персональных данных при их обработке осуществляется руководством Организации.

4.1.3 Структурные подразделения Организации, ответственные за обеспечение безопасности персональных данных при их обработке:

- Департамент технической службы (структурное подразделение Организации, осуществляющее техническое обеспечение, сопровождение и обслуживание ее деятельности) – за обеспечение безопасности персональных данных, содержащихся в информационных системах;

- Отдел кадров – за обеспечение безопасности персональных данных Работников;
- Договорный отдел – за обеспечение безопасности персональных данных Абонентов. 4.1.4. Лица допускаются к соответствующим персональным данным, обработка

которых необходима для выполнения ими трудовых обязанностей, на основании утвержденного руководством Организации списка (далее – Список).

Обязанность по подготовке Списка и/или вносимых в него изменений, а также по ознакомлению с утвержденным руководством Организации Списком и/или внесенными в него изменениями руководителей соответствующих структурных подразделений Организации и/или Работников, возлагается на Отдел кадров.

Предложения по включению Работников в Список и/или исключению из него, а также по определению и/или изменению уровня устанавливаемых Работникам ограничений в работе с персональными данными вносятся на рассмотрение руководству Организации руководителем соответствующего структурного подразделения с необходимым обоснованием.

Обязанность по установлению Работникам в соответствии со Списком и/или внесенными в него изменениями технической возможности доступа к соответствующим персональным данным, содержащихся в информационных системах (с учетом уровня установленных ограничений в работе с ними), возлагается на структурное подразделение Организации, осуществляющее техническое обеспечение, сопровождение и обслуживание ее деятельности.

4.1.5. В структурных подразделениях Организации, производящих обработку персональных данных, ответственными по работе с персональными данными являются их руководители.

4.1.6. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения материальных

носителей персональных данных и установить перечень лиц, уполномоченных на осуществление их обработки.

4.1.7. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

4.2. Система защиты персональных данных. Мероприятия по обеспечению безопасности персональных данных.

4.2.1. Система защиты персональных данных в целях обеспечения безопасности персональных данных для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, состоит из мероприятий по определению угроз безопасности персональных данных, организационных и технических мер по обеспечению безопасности персональных данных, выполнения установленных требований к защите персональных данных и применения средств защиты информации (включая средств предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на информационные системы), а также используемых в информационных системах технологиях, учета применяемых систем и/или средств защиты персональных данных и носителей персональных данных (в том числе машинных), обнаружения фактов несанкционированного доступа к персональным данным и принятия соответствующих мер, восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, установления правил доступа к персональным данным, а также обеспечения регистрации и учета совершаемых действий с содержащимися в информационных системах персональными данными, мероприятий по контролю за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности содержащихся в информационных системах персональных данных.

4.2.2. При обработке персональных данных содержащихся в информационных системах, с учетом актуальных угроз безопасности (в зависимости от необходимого уровня защищенности информационных систем), Организацией обеспечивается:

- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и/или

обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут

привести к сбоям или нарушению функционирования информационной системы и/или к возникновению угроз безопасности персональных данных, и реагирование на них;

- управление конфигурацией информационной системы и системы защиты персональных данных.

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения необходимого уровня защищенности персональных данных, устанавливаются Организацией согласно действующим нормативным правовым актам.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится Организацией в порядке, предусмотренном действующими нормативными правовыми актами.

4.2.3. Требования к рабочим местам (помещениям), за которыми (в которых) ведется обработка персональных данных, осуществляется хранение материальных носителей персональных данных и/или установлены машинные носители персональных данных (информационные системы):

- хранение и/или работа с материальными носителями персональных данных и/или размещение машинных носителей персональных данных (информационных систем), систем и/или средств защиты персональных данных и режим доступа (охрана) в соответствующие помещения, в том числе в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность персональных данных и/или материальных носителей персональных данных, в том числе машинных (информационных систем), систем и/или средств защиты персональных данных, а также исключать возможность несанкционированного доступа к ним и/или проникновения, либо пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

5. ПЕРСОНАЛЬНЫЕ ДАННЫЕ АБОНЕНТОВ

5.1. Цели обработки персональных данных.

5.1.1. Обработка персональных данных Абонентов направлена на возникновение, изменение и прекращение соответствующих правоотношений сторон и осуществляется с целью реализации Организацией своих прав и исполнения обязательств как юридического лица, в которых Организация выступает в качестве одной из сторон (представителем одной из Сторон) в гражданско-правовых и иных непосредственно связанных с ними отношениях, а также выполнения положений действующего законодательства Российской Федерации, в том числе в области связи.

5.2. Перечень обрабатываемых персональных данных.

5.2.1. Состав персональных данных Абонентов определяется содержанием предоставляемых ими данных, необходимых для заключения и обеспечения исполнения договоров, взаимодействия сторон, положений п. 14 Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно- розыскную деятельность, утвержденных постановлением Правительства Российской Федерации от 27.08.2005 г. No538, а также норм действующего законодательства Российской Федерации в области связи.

5.3. Сроки хранения персональных данных.

5.3.1. Срок хранения персональных данных Абонентов определяется нормами действующего законодательства Российской Федерации в области связи, законодательства о бухгалтерском учете и нормами налогового законодательства Российской Федерации, а также общим сроком исковой давности согласно гражданскому законодательству Российской Федерации.

6. ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ

6.1. Цели обработки персональных данных.

6.1.1. Обработка персональных данных Работников осуществляется в связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Организация выступает в качестве работодателя, с целью обеспечения соблюдения действующего законодательства Российской Федерации, содействия Работникам в трудоустройстве, заключения и регулирования трудовых и иных, непосредственно связанных с ними отношений, продвижении по службе, исполнения трудового договора, обеспечения правопорядка, личной безопасности, защиты жизни и здоровья Работников,

контроля количества и качества выполняемой работы, обеспечения сохранности имущества, исчисления и уплаты Организацией предусмотренных действующим законодательством налогов, сборов и взносов на обязательное социальное и пенсионное страхование, начисления и выплаты Работникам заработной платы, предоставления Работникам налоговых вычетов, представления Организацией установленной действующим законодательством отчетности и/или необходимых сведений в отношении Работников, в том числе, сведений персонифицированного учета в Пенсионный фонд РФ, сведений в ФНС России, ФСС РФ, военные комиссариаты, в федеральные органы государственной власти, органы государственной власти субъектов РФ, органы местного самоуправления, а также в иные учреждения и организации.

6.2. Перечень обрабатываемых персональных данных.

6.2.1. Состав персональных данных Работников определяется трудовым законодательством Российской Федерации.

При заключении трудового договора согласно ст. 65 Трудового кодекса Российской Федерации, лицо поступающее на работу, предъявляет работодателю:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или Работник поступает на работу на условиях совместительства, а также иных случаев, предусмотренных действующим законодательством Российской Федерации;

- страховое свидетельство государственного пенсионного страхования;

- документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;

- документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;

- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, - при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с Трудовым кодексом Российской Федерации, иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию;

- иные документы, необходимость предъявления которых предусматривается действующим законодательством Российской Федерации.

При оформлении работника в Организацию работником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

- сведения о воинском учете;
- данные о приеме на работу;
В дальнейшем в Личную карточку Работника вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и контактных телефонах.
6.2.2. Запрещается требовать от лица, поступающего на работу, документы помимо

предусмотренных Трудовым кодексом Российской Федерации, иными федеральными

законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

6.2.3. В Отделе кадров Организации создаются и хранятся следующие группы документов, содержащие данные о Работниках в единичном или сводном виде:

- документы, содержащие персональные данные Работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки Работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Организации, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);

- документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Организации); документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.

6.3. Сроки хранения персональных данных.

6.3.1. Сроки хранения персональных данных Работников определяются в соответствии с Федеральным законом от 22.10.2004 г. No 125-ФЗ «Об архивном деле в Российской Федерации», согласно которому:

- документы, отражающие трудовые отношения Работника с работодателем, созданные до 2003 года, хранятся не менее 75 лет со дня создания;

- документы, отражающие трудовые отношения Работника с работодателем, созданные начиная с 2003 года, хранятся не менее 50 лет со дня создания.

7. КОНТРОЛЬ ЗА ВЫПОЛНЕНИЕМ ТРЕБОВАНИЙ НАСТОЯЩЕГО ПОЛОЖЕНИЯ

7.1. Контроль и надзор заключается в проверке выполнения Работниками требований настоящего Положения и нормативных правовых актов в области обработки и защиты персональных данных, а также в оценке обоснованности и эффективности принимаемых мер по обеспечению безопасности персональных данных.

Контроль и надзор за выполнением требований настоящего Положения осуществляется:

- руководством Организации;

- соответствующими структурными подразделениями Организации, ответственными за обеспечение безопасности персональных данных.

7.2. Мероприятия по контролю и надзору за выполнением требований настоящего Положения включают в себя:

- проведение плановых проверок выполнения требований настоящего Положения и нормативных правовых актов в области обработки и защиты персональных данных;

- проведение внеплановых проверок выполнения требований настоящего Положения и нормативных правовых актов в области обработки и защиты персональных данных.

Организация и проведение плановых проверок выполнения требований настоящего Положения и нормативных правовых актов в области обработки и защиты персональных данных осуществляется соответствующими структурными подразделениями Организации, ответственными за обеспечение безопасности персональных данных, не реже 1 раза в квартал.

Организация и проведение внеплановых проверок выполнения требований настоящего Положения и нормативных правовых актов в области обработки и защиты персональных данных осуществляется руководством Организации:

- не реже 1 раза в календарный год;

- при выявлении фактов нарушений (получении информации о возможных нарушениях) Работниками требований настоящего Положения и нормативных правовых актов в области обработки и защиты персональных данных.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ПОЛОЖЕНИЯ

8.1. Персональная ответственность Работников.

8.1.1. Организация устанавливает персональную ответственность Работников за соблюдение требований настоящего Положения, а также нормативных правовых актов в области обработки и защиты персональных данных.

Руководитель структурного подразделения Организации, производящего обработку персональных данных несет персональную ответственность за соблюдение требований настоящего Положения, а также нормативных правовых актов в области обработки и защиты персональных данных, работниками данного подразделения.

Каждый Работник, получивший для работы документ, содержащий персональные данные, несет персональную ответственность за сохранность носителя и конфиденциальность персональных данных.

8.2. Виды ответственности.

8.2.1. За нарушение требований настоящего Положения Работники несут дисциплинарную, гражданско-правовую, материальную, административную, уголовную и иную ответственность, предусмотренную действующим законодательством Российской Федерации.