1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящее Положение об обработке персональных данных (далее – Положение) определяет цели и способы обработки персональных данных в ООО «НТА-Пром» (далее – Общество), устанавливает порядок обработки и обеспечения безопасности персональных данных соискателей и иных третьих лиц, чьи персональные данные обрабатывает Общество.

1.2 Требования настоящего Положения распространяются на все процессы и информационные системы, в которых осуществляется обработка персональных данных.

1.3 Настоящее Положение разработано на основании статей Конституции РФ, Кодекса РФ об административных правонарушениях, Гражданского кодекса РФ, Уголовного кодекса РФ, а также Федерального закона "Об информации, информационных технологиях и о защите информации", Федерального закона «О персональных данных».

1.4 Целью настоящего документа является определение порядка получения, обработки, хранения, систематизации, накопления, защиты и уничтожения персональных данных соискателей и иных третьих лиц, а также информирование субъектов персональных данных и лиц, участвующих в обработке персональных данных, о соблюдении в ООО «НТА-Пром» основополагающих принципов законности, справедливости, соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки.

1.5 В настоящем Положении используются следующие термины и определения:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных. 

Защита персональных данных – деятельность по обеспечению с помощью локального регулирования порядка работы с персональными данными и иных организационно-технических мер сохранности персональных данных и недопустимости их неправомерного использования.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.6 Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обработки обезличенных или общедоступных персональных данных или по истечении 75 лет срока хранения, если иное не определено законом.

2. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ЦЕЛИ И ИСТОЧНИКИ ИХ ПОЛУЧЕНИЯ

2.1. ООО «НТА-Пром» осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

- соискателей/кандидатов, рассматриваемых для заключения трудового договора;

- студентов/практикантов;

- близких родственников работников (и членов семьи);

- лиц, состоявших ранее в трудовых отношениях с ООО «НТА-Пром»;

- потенциальных контрагентов (физических лиц и индивидуальных предпринимателей); 

- сотрудников и учредителей контрагентов – юридических лиц;

- иных субъектов персональных данных (для обеспечения реализации целей, указанных в п. 2.2 настоящего Положения).

2.2. Целями обработки персональных данных являются:

- рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства в ООО «НТА-Пром»;

- прохождение учебной или производственной практики;

- обеспечение пропускного и внутриобъектного режимов на территорию ООО «НТА-Пром», обеспечение сохранности имущества ООО «НТА-Пром»;

- проверка контрагентов для рассмотрения возможности заключения договорных отношений;

- ведение переговоров, подготовки, заключения изменения, исполнения и прекращения договоров с контрагентами;

- продвижение товаров, услуг ООО «НТА-Пром» на рынке;

- защита интересов ООО «НТА-Пром» при неисполнении и/или ненадлежащем исполнении обязательств по заключенным договорам;

- осуществление функций, возложенных на компанию законодательством РФ, нормативными актами РФ, а также внутренними регулирующими документами компании.

2.3. Перечень обрабатываемых персональных данных включает:

- фамилия, имя, отчество;

- дата рождения;

- сведения о занимаемой должности; 

- контактные данные;

- паспортные данные;

- адрес места регистрации и жительства;

- автобиография, резюме;

- сведения о деловых и иных личных качествах, носящих оценочный характер (рекомендации, характеристики и пр.);

- иные персональные данные, указанные в согласии на обработку персональных данных.

2.4. ООО «НТА-Пром» получает персональные данные непосредственно от субъекта персональных данных или его представителей, если иной порядок получения персональных данных не установлен Федеральным законом. 

2.5. Персональные данные могут быть получены не от субъекта персональных данных при наличии согласия субъекта персональных данных на передачу его персональных данных в ООО «НТА-Пром» для обработки, если иной порядок получения персональных данных не предусмотрен законодательством РФ. 

2.6. В ООО «НТА-Пром» не осуществляется обработка специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). 

2.7. Перечень действий с персональными данными, которые могут осуществляться ООО «НТА-Пром» при обработке персональных данных субъектов: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

2.8. ООО «НТА-Пром» осуществляет обработку персональных данных, как с использованием средств автоматизации, так и без таких средств.

3. УСЛОВИЯ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных осуществляется только с соблюдением следующих условий: 

- после получения согласия субъекта на обработку его персональных данных, за исключением случаев, предусмотренных законодательством РФ;

- после принятия необходимых мер по защите персональных данных.

3.2. Содержание, объем и способы обработки персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.3. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки персональных данных. Необходимо принимать меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. 

3.4. К обработке персональных данных допускаются только те сотрудники ООО «НТА-Пром», в функциональные обязанности которых входит обработка персональных данных. Данные сотрудники имеют право обрабатывать только те персональные данные, которые необходимы им для исполнения своих должностных обязанностей.

3.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором. 

3.6. Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение персональных данных после прекращения их обработки допускается после их обезличивания. 

3.7. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей ООО «НТА-Пром» до начала обработки персональных данных публикует в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, а также обеспечивает возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. 

3.8. ООО «НТА-Пром» вправе с использованием сети Интернет осуществлять обработку и защиту персональных данных, предоставленных субъектами персональных данных путем заполнения соответствующих форм (в том числе форм запросов, форм обратной связи, форм для направления резюме) на сайте ООО «НТА-Пром» (https://nta-prom.ru/, https://career.nta-prom.ru/) и посредством направления электронных писем в адрес ООО «НТА-Пром» (zakaz@nta-prom.ru, info@nta-prom.ru, marketing@nta-prom.ru, hr@nta-prom.ru). 

3.9. В случае получения резюме кандидата посредством электронной почты и заинтересованности в дальнейшем сотрудничестве ООО «НТА-Пром» необходимо провести дополнительные мероприятия, направленные на подтверждение факта направления указанного резюме самим кандидатом (личная встреча, обратная связь посредством электронной почты и пр.). В случае невозможности однозначного определения физического лица, направившего резюме посредством электронной почты, или незаинтересованности в дальнейшем сотрудничестве с данным кандидатом, данное резюме должно быть уничтожено в день поступления.

4. ПРАВА СУБЬЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъект персональных данных имеет право на:

- получение сведений об обработке своих персональных данных, 

- уточнения, блокирования или уничтожения персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- отзыв согласия на обработку персональных данных;

- принятие предусмотренных законом мер по защите своих прав;

- обжалование действий или бездействия ООО «НТА-Пром», осуществляемых с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

- осуществление иных прав, предусмотренных законодательством Российской Федерации.

4.2. Доступ к персональным данным предоставляется субъекту персональных данных или его законному представителю при получении соответствующего запроса. 

4.3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков или компенсацию морального вреда в судебном порядке.

5. ЗАЩИТА ПЕРСОНАЛЬХ ДАННЫХ

5.1. При обработке, хранении персональных данных организация принимает необходимые организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, предоставления, распространения, а также иных неправомерных действий в отношении персональных данных.

5.2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

5) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

6) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

8) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.3. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение, персональных данных, а также иные неправомерные действия при их обработке в информационно системе персональных данных.

5.4. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица.

5.5. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

5.6. Внутренняя защита.

Для обеспечения внутренней защиты персональных данных в ООО «НТА-Пром» соблюдаются следующие меры:

- все помещения, в которых хранятся персональные данные, оборудуются охранной системой, доступ в здание осуществляется через электронные пропуска;

- строгое, избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование защищаемой информации;

- знание работником требований нормативно-методических документов по защите информации и сохранению тайны, по работе с персональными данными;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- организация порядка уничтожения информации;

- своевременное выявление нарушения требований разрешительной системы доступа;

- воспитательная и разъяснительная работа с работниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

5.7. Все компьютеры, содержащие персональные данные, защищены индивидуальным паролем. Доступ к электронным базам данным, содержащим персональные данные, обеспечивается системой паролей. Пароли устанавливает системный администратор организации, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным.

5.8. Внешняя защита.

Для обеспечения внешней защиты персональных данных в ООО «НТА-Пром» соблюдаются следующие меры:

- порядок приема, учета и контроля деятельности посетителей;

- пропускной режим организации;

- учет и порядок выдачи пластиковых карт системы контроля доступа;

- технические средства охраны, сигнализации;

- порядок охраны территории, зданий, помещений, транспортных средств;

- требования к защите информации при интервьюировании и собеседованиях.

5.9. Все лица, связанные с получением, обработкой и защитой персональных данных, должны быть ознакомлены с Инструкцией о порядке работы с персональными данными и обязаны подписать обязательство о неразглашении персональных данных. 

5.10. Обработка персональных данных в информационных системах производится в соответствии требованиями Регламента обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. 

5.11. По возможности персональные данные обезличиваются.

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, ПРЕКРАЩЕНИЕ ОБРАБОТКИ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. В случае выявления недостоверных персональных данных при обращении или по запросу субъекта персональных данных ООО «НТА-Пром» обязано осуществить блокирование неправомерно обрабатываемых персональных данных с момента такого обращения на период проверки. В случае подтверждения факта неточности персональных данных на основании документов, представленных субъектом персональных данных обязан уточнить персональные данные (внести изменения). 

6.2. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

6.3. В случае выявления неправомерных действий с персональными данными ООО «НТА-Пром» в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения и снять блокирование персональных данных. В случае невозможности устранения допущенных нарушений в указанный срок, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных ООО «НТА-Пром» обязан уведомить субъекта персональных данных.

6.4. Для отзыва письменного согласия на обработку персональных данных субъектом направляется письменный запрос на имя генерального директора, который должен содержать ФИО, паспортные данные, адрес места регистрации и жительства, собственноручная подпись. 

6.5. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

6.6. В случае достижения цели обработки персональных данных либо в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, ООО «НТА-Пром» обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, федеральным законом и нормативно-правовым актом и уведомить об этом субъекта персональных данных.

6.7. Уничтожение персональных данных осуществляется в следующем порядке:

- уничтожение или обезличивание части персональных данных на бумажном носителе может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание);

- Персональные данные на бумажных носителях уничтожаются с помощью шредера;

- Персональные данные, размещенные на электронном носителе, уничтожаются путем стирания программным способом без возможности восстановления. 

6.8. Уничтожение персональных данных должно быть выполнено необратимым (не позволяющим восстановить данные впоследствии) способом.

7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НАСТОЯЩЕГО ПОЛОЖЕНИЯ

7.1. Лица, виновные в нарушении настоящего Положения или положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

7.2. Работники ООО «НТА-Пром», участвующие в обработке персональных данных, обязаны докладывать непосредственному руководителю обо всех фактах и попытках несанкционированного доступа к персональным данным.

7.3. Работники ООО «НТА-Пром», участвующие в обработке персональных данных, несут персональную ответственность за несанкционированное распространение обрабатываемых персональных данных; соблюдение требований законодательства РФ в части обеспечения безопасности персональных данных, а также установленного настоящим Положением и иными внутренними документами; сохранность носителя, содержащего персональные данные, в случае его получения работником для выполнения должностных обязанностей.