Положение о защите персональных данных

ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение о защите персональных данных (далее по тексту- Положение) определяет порядок и систему обработки, защиты, приёма, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения, учёта документов, содержащих сведения, отнесённые к персональным данным работников Общества с ограниченной ответственностью «Юпитертрак» (далее – ООО, Работодатель), полученных в процессе хозяйственной деятельности и необходимых в связи с трудовыми отношениями, с использованием средств автоматизации или без использования таких средств.
1.2. Настоящее Положение является локальным нормативным актом ООО, разработанным и утверждённым в соответствии с требованиями Трудового кодекса РФ, Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», в целях обеспечения соблюдения законных прав и интересов Работодателя и его работников в связи с необходимостью получения (сбора), систематизации (комбинирования), обработки, хранения, передачи и защиты сведений, составляющих персональные данные.
1.3. Настоящее Положение обязательно для соблюдения всеми работниками ООО. Нарушение настоящего Положения служит основанием для привлечения виновного лица к дисциплинарной, а также иной ответственности в порядке, определяемом в соответствии с законодательством Российской Федерации.
1.4. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну). Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных федеральными законами.

    2. ОСНОВНЫЕ ПОНЯТИЯ
2.1. Для целей настоящего Положения используются следующие основные понятия:
работник – физическое лицо, вступившее в трудовые правоотношения или изъявившее желание вступить в трудовые правоотношения с ООО «Юпитертрак»;
персональные данные – любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона ль 27.07.2006 №152-ФЗ) и необхлодимая Работодателю в связи с трудовыми отношениями с работниками, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения,  адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределённому кругу лиц  (п. 5 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
предоставление персональных данных – действия, направленные на раскрытие персональных данных работников определённому лицу или определённому кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
блокирование персональных данных – временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
уничтожение преоснальных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персонаьных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ);
информационная система персональных данных – система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
конфиденциальность персональных данных – обязательное для соблюдения Работодателем или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия работника или наличия иного законного основания;
общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами РФ не распространяется требование соблюдения конфиденциальности;
оператор – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели  и содержание обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
информация – сведения (сообщения, данные) независимо от формы их представления;
документированная информация  - зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или её материальный носитель. 

3. ПЕРЕЧЕНЬ ДОКУМЕНТОВ И СВЕДЕНИЙ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ
3.1.Информация, предоставляемая работником при поступлении на работу в ООО, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет Работодателю следующие документы, содержащие его персональные данные:
-паспорт или иной документ , удостоверяющий личность;
-трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или Работник поступает на работу на условиях совместительства, в случае, если Работник перешёл на ведение электронной трудовой книжки, то предъявляет Работодателю сведения о трудовой деятельности по форме СТД-Р или СТД-ПФР вместе с трудовой книжкой (в том числе для подтверждения стажа работы до 31.12.2019) или взамен ее;
-страховое свидетельство государственного пенсионного страхования;
-документы воинского учёта – для лиц, подлежащих воинскому учёту;
-документ об образовании и (или) квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки;
-свидетельство о присвоении ИНН (при его наличии у работника);
-справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к которой в соответствии с Трудовым кодексом РФ или иным федеральным законам не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию). 
Документы, содержащие персональные данные работника, создаются путём:
а) копирования оригиналов (документ, удостоверяющий личность, документ об образовании, свидетельство ИНН, пенсионное свидетельство);
б) внесения сведений в учётные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, автобиография, медицинское заключение).
3.2.При оформлении работника заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
-общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
-номер телефона, адрес электронной почты;
-сведения о воинском учёте;
-данные о приёме на работу, переводе на другую работу;
-сведения об аттестации;
-сведения о повышении квалификации;
-сведения о профессиональной переподготовке;
-сведения о наградах (поощрениях), почётных званиях;
-состав семьи;
-сведения об отпусках;
-сведения о социальных гарантиях;
-сведения о месте жительства и о контактных телефонах.
3.3. В отделе кадров и в бухгалтерии создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
3.3.1. Документы, содержащие персональные данные работников:
комплексы документов, сопровождающие процесс оформления трудовых отношений при приёме на работу, переводе, увольнении;
комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
сведения о заработной плате, финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
подлинники и копии приказов (распоряжений) по кадрам;
личные дела и трудовые книжки;
дела, содержащие основания к приказу по личному составу;
дела, содержащие материалы аттестаций работников;
дела, содержащие материалы внутренних расследований;
справочно-информационный банк данных по персоналу (картотеки, журналы);
подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству ООО, руководителям структурных подразделений;
копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, контролирующие органы и другие учреждения;
иные сведения, относящиеся к персональным данным работников.
3.3.2. Документация по организации работы структурных подразделений:
положения о структурных подразделениях;
должностные инструкции работников;
приказы, распоряжения, указания руководства ООО;
документы планирования, учёта, анализа и отчётности по вопросам кадровой работы.
3.4. Указанные в пп.3.1., 3.2., 3.3 документы являются конфиденциальными, но учитывая их массовость и единое место обработки и хранения – соответствующий гриф ограничения на них не ставится. 

4.ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
4.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, получении образования, обучения и продвижения по службе, обеспечения личной безопасности работника, обеспечения сохранности имущества, контроля количества и качества выполняемой работы. 
4.2. Обработка персональных данных рабоников ООО осуществляется на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определённым и заявленным при сборе персональных данных, а также полномочиям Работодателя;
3) соответствия объёма и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
4.3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
4.4. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. 
4.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст.24 Конституции РФ Работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. 
4.6. Работодатель не имеет права получать и обрабатывать данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
4.7. Обработка персональных данных работников Работодателем возможна только с их письменного согласия. Работник принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку своей волей и в своём интересе.
4.8. Письменное согласие работника не требуется в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и если получение согласия работника невозможно;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- по требованию полномочных государственных органов – в случаях, предусмотренных федеральным законом.
4.9. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых даётся согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Форма такого согласия в Приложении 1 к настоящему Положению.
4.10. Работник представляет Работодателю достоверные сведения о себе, Работодатель вправе проверить их полноту и достоверность. Предоставление работником подложных документов или ложных сведений при поступлении в ООО является основанием для расторжения трудового договора. 
4.11. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения. 
4.12. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается Работодателем за счёт его средств в порядке, установленном федеральным законом. 
4.13. Роботники ООО должны быть ознакомлены под расписку с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. 
4.14. Документы, содержащие персональные данные работника, составляют его личное дело. Личное дело работника оформляется после издания приказа о приёме на работу. Личное дело хранится на бумажных носителях, а помимо этого может храниться в виде электронных документов. Все документы личного дела подшиваются в обложку, на ней указываются фамилия, имя, отчетсво работника, номер личного дела (табельный номер).
4.15. Личное дело пополняется и ведётся на протяжении всей трудовой деятельности работника. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитые в личное дело, нумеруются. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами. 
4.16. Письменные доказательства получения Работодателем согласия работника на обработку его персональных данных хранятся в личном деле работника.
4.17. Уполномоченное лицо, непосредственно осуществляющее обработку персональных данных работников ООО, обязуется в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (Приложение №2). 

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
5.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника (Приложение 4), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
5.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия. 
5.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).
5.1.4. Осуществлять передачу персональных данных работников в пределах одной организации в соответствии с настоящим Положением. 
5.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции. 
5.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.1.7. Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции. 
5.2. Персональные данные работников обрабатываются и хранятся в отделе кадров и бухгалтерии ООО.
5.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
5.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или являются общедоступными) Работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и её правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральными законами права субъекта персональных данных.

6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКОВ
6.1. Перечень лиц, имеющих право доступа к персональным данным работников, приведён в Приложении 3.
6.2. У работника есть доступ только к своим персональным данным и право:
6.2.1. Получать полную информациюо своих персональных данных;
6.2.2. Иметь свободный бесплатный доступ к своим персональным данным и ознакомление с ними, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных действующим законодательством. 
6.2.3. Иметь доступ к относящимся к нему медицинским данным. 
6.2.4. Получать сведения об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему работнику.
6.2.5. Требовать от Работодателя уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2.6. Получать от Работодателя:
- сведения о лицах, которые имеют доступ к персональным даным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6.2.7. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях.
6.2.8. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных.
6.3. Работник обязан:
- передавать Работодателю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.;
Своевременно в разумный срок, не превышающий 5 дней, сообщать Работодателю об изменениях своих персональных данных.
6.4. Сведения о наличии персональных данных должны  быть предоставлены работнику в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Доступ к своим персональным данным предоставляется работнику или его законному представителю оператором при личном обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность работника или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись работника или его законного представителя. 

7. ПОРЯДОК БЛОКИРОВАНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. ООО блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
7.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
7.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
7.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
7.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и ООО.
7.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
7.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Работодателем. Кроме того, персональные данные уничтожаются в указанный срок, если Работодатель не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
7.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Работодателя, обрабатывающие персональные данные.
7.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора.
7.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
7.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
7.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п.п. 7.4., 7.5., 7.6. Положения, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
    • актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
    • актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом генерального директора.
7.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
7.8.5. Уничтожение персональных данных, не указанных в п.7.8.3. Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом генерального директора.

8. ПОРЯДОК ХРАНЕНИЯ, ЗАЩИТЫ И ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
8.2. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности ООО.
8.3. Одно из основных направлений организационной защиты информации ООО «Юпитертрак» - регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных.
8.4. Для защиты персональных данных сотрудников Работодателем установлены следующие правила:
- ограничение и определение списка должностей, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
- регламентация порядка приёма, учёта посещения и контроля деятельности посторонних лиц;
- избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов по защите персональных данных;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и ограничение состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника с персональными данными работников;
- организация порядка уничтожения информации;
- разъяснительная работа с сотрудниками по предупреждению утраты сведений при работе с конфиденциальными документами;
- персональные компьютеры, на которых содержатся персональные данные, защищены личными паролями на право доступа.
8.5. Доступ к персональным данным работников имеют только специально уполномоченные люди, указанные в п.6.1. и которым персональные данные необходимы для выполнения должностных обязанностей, после подписания Обязательства о соблюдении режима конфиденциальности персональных данных работника (Приложение 2 к настоящему Положению).
8.6. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для постороннего лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
8.7. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности администрации, посетители, сотрудники других организационных структур, сотрудники, не уполномоченные обрабатывать персональные данные.
8.8. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в ООО.
8.9. Внешний доступ к персональным данным работников имеют контрольно-ревизионные органы при наличии документов, на основании которых они проводят проверку. Дистанционно персональные данные работников могут быть представлены контрольно-надзорным органам только по письменному запросу. Страхове фонды, негосударственные пенсионные фонды, другие организации, а также родственники и члены семьи работника не имеют доступа к персональным данным работника, за исключением наличия письменного согласия самого работника.
8.10. Автоматизированная обработка и хранение персональных данных работников допускаются только после выполнения всех основных мероприятий по защите информации.
8.11. Персональные данные работников хранятся после автоматизированной обработки на электронном носителе и в бумажном варианте в личном деле сотрудника. 
8.12. Для хранения персональных данных в бумажном варианте используются специально оборудованные сейфы , которые запираются на ключ. Ключ от сейфа хранится у главного бухгалтера.
8.13. Персональные данные на электронных носителях хранятся в программе «1С». Доступ к программе имеют генеральный директор, главный бухгалтер, менеджер по персоналу. Вход в программу осуществляется только при введении личного пароля пользователя. Данные обрабатываются без использования и без передачи по локальной сети и сети Интернет. Все папки электронных носителей, содержащие персональные данные сотрудника, защищены паролем. 
8.14. Помещения, в которых хранятся персональные данные работников, оборудованы надёжными замками, системой видеонаблюдения и сигнализации. 
8.15. Всем сотрудникам ООО запрещается пердача информации, содержащей сведения о персональных данных работников ООО, по телефону, факсу, электронной почте без письменного согласия работника (Приложение 4 к настоящему Положению).
8.16. После увольнения работника документы, содержащие его персональные данные, хранятся в ООО в течение сроков, установленных законодательством. 

9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Каждый сотрудник ООО, получающий при выполнении своих должностных обязанностей документ, содержащий персональные данные, несёт единоличную ответственность за сохранность носителя и конфиденциальность информации. 
9.2. Работники ООО, виновные в нарушении установленного законом порядка обращения с персональными данными, их сбора, хранения, использования или распространения, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. В случае возникновения споров между работником и Работодателем они должны решаться, прежлде всего, путём переговоров. В случае недостижения согласия стороны руководствуются действующим законодательством. 
10.2. По всем вопросам, не нашедшим своего решения в настоящем Положении, работники и Работодатель руководствуются положениями нормативно-правовых актов РФ.
10.3. По инициативе Работодателя или работников в настоящее Положение могут вноситься изменения и дополнения в порядке, установленном трудовым законодательством.
10.4. С настоящим Положением должны быть ознакомлены под расписку все работники ООО.
10.5. Положение обязательно для всех работников ООО.
10.6. Настоящее Положение действует в отношении вновь образованных структурных подразделений в соответствии со штатным расписанием ООО.
10.7. Все изменения и дополнения к настоящему Положению подлежат утверждению генеральным директором ООО или уполномоченным им лицом. 
10.8. Настоящее Положение (а также изменения к нему) вступает в силу с момента  его утверждения генеральным директором, вводится в действие приказом и действует до момента утверждения нового Положения.
10.9. Подлинник настоящего Положения хранится в отделе кадров ООО.