Жеке деректерді өңдеу саясаты
1. Цель документа
Настоящее внутреннее положение о порядке обработки и хранения персональных данных (далее – Положение) Товарищества с ограниченной ответственностью «Исатай Оперейтинг Компани» (далее – Товарищество) разработано в соответствии с Конституцией Республики КазахстанТрудового кодекса РК от 23 ноября 2015 года №414-V ЗРК, Законом Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите», правила внутреннего трудового распорядка Товарищества и в соответствии с иными внутренними документами Товарищества.
Защита персональных данных работника регламентируется Законом РК «О персональных данных и их защите», а также Трудовым Кодексом РК:
- подпункт 24 пункта 1 статьи 22 ТК РК: « работник имеет право на обеспечение защиты персональных данных, хранящихся у работодателя»
- подпункт 24 пункта 2 статьи 23 ТК РК: «работодатель обязан осуществлять сбор, обработку и защиту персональных данных и их защите»
Цель данного документа:
-
Обеспечить неприкосновенность частной жизни, личной и семейной тайны, что гарантировано статьей 18 Конституции РК;
-
Обеспечить надежное хранение всех персональных данных работников Товарищества;
-
Определить порядок передачи (распространения) персональных данных работников Товарищества третьим лицам.
Настоящее Положение устанавливает права и обязанности Товарищества, работников Товарищества, а также порядок передачи (распространения), хранения и защиты персональных данных.
2. Область применения
Документ предназначен для применения работниками Товарищества, ответственными за сбор, обработку и хранение персональных данных в подразделениях Товарищества.
3. Определения и сокращения
|
Первые руководители |
Генеральный директор и заместитель генерального директора Товарищества, либо уполномоченные ими лица |
|
Работники Товарищества |
физические лица, состоящие в трудовых отношениях с Товариществом на условиях трудового договора, в том числе лица, прикомандированные к Товариществу на основании соглашений о прикомандировании, заключаемых между Товариществом и Подрядными компаниями |
|
Линейный руководитель |
Непосредственный руководитель согласно одобренной структуре Товарищества. |
|
Руководитель структурного подразделения |
Руководитель департамента, подразделения, входящего в организационную структуру Товарищества, с установленными функциями, задачами и ответственностью в соответствии с внутренними документами. |
|
Отдел по управлению персоналом |
Соответствующее подразделение, курирующее вопросы по персоналу, а при его отсутствии Менеджер по персоналу. |
|
Должностные лица |
члены Правления, Общее собрание участников и Операционный комитет Товарищества |
|
Заинтересованное лицо |
физические и юридические лица, вступающие в правоотношения с Товариществом |
|
ТК |
Трудовой Кодекс |
|
ТД |
Трудовой договор |
|
Персональные данные |
сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе |
|
Общедоступные персональные данные |
персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответсвии с законодательством Республики Казахстан не распространяются требования соблюдения конфеденциальности |
|
Субъект персональных данных |
В рамках данного документа, субъектом выступает работник (физическое лицо, к которому относятся персональные данные). |
|
Трансграничная передача персональных данных |
передача персональных данных на территорию иностранных государств |
|
Сбор персональных данных |
действия, направленные на получения персональных данных |
|
Обработка персональных данных |
действия, напрвленные на накопление, хранения, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных |
|
Хранение персональных данных |
Действия по обеспечению целостности, конфиденциальности и доступности персональных данных
|
4. Общие положения
При поступлении на работу, а также в период трудовой деятельности каждый рабтник Товарищества предоставляет в Отдел по управлению персоналом значительный объем документов, содержащих сведения о нем/о ней самом, о членах его/ее семьи, а также о своем материальном положении и социальном статусе. Должностные лица Товарищества, получившие эти сведения, не в праве разглашать их без согласия работника Товарищества любым третьим лицам, за исключением случаев, предусмотренных законодательными актами.
Сведения, предоставленные работником Товарищества при заключении трудового договора, собранные работодателем в процессе трудовой деятельности работника, включая информацию о прекращении трудового договора, записи медицинских заключений являются персональными данными работника и членов его / ее семьи, сохранность которых утраты и защита от неправомерной их передачи третьим лицам должна быть обеспечена Товариществом в лице уполномоченных должностынх лиц.
5. Понятие персональных данных работника и их состав
Сбор и обработка персональных данных работников осуществляется Товариществом при возниковении, продолжении и прекращении трудовых отношений.
Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа. Отнесение сведений, указанных в перечне персональных данных, к общедоступным или ограниченного доступа осуществляется Товариществом в соответсвии с Занондательством РК.
Перечень персональных данных определяется только для целей, непосредственно связанных с осуществлением функций, полномочий и обязанностей и задач Товарищества, кроме случаев предусмотренных Законом РК «О персональных данных и их защите».
При определении перечня персональных данных, необходимого и достаточного для выполнения осуществляемых задач, Товарищество руководствуется следующими принципами сбора, обработки и защиты персональных данных:
-
Соблюдения констутиционных прав и свобод человека и гражданина;
-
Законности;
-
Конфиденциальности персональных данных ограниченного доступа;
-
Равенство прав субъектов, собственников и операторов;
-
Обеспечения безопасности личности, общества и государства.
Перечень персональных данных работника, определенный и утвержденный Правлением Товарищества представлен в Приложении 1 «Согласию на сбор и обработку персональных данных» с обоснованием их необходимости или на основании соответствующих документов, подтверждающих их достоверность.
Измененния и дополнения, внесенные в перечень персональных данных, действует с момента их введение в действие и не распространяются на отношения, возникшие до их введение в действие.
Использование персональных данных, определенных Товариществом в перечне персональных данных, осуществляется только для ранее заявленных целей их сбора.
6. Требования к сбору и обработке персональных данных
Сбор, обработка персональных данных осуществляются Товариществом с согласия работника или его законного представителя, кроме случаев, предусмотренных Законом РК «О персональных данных и их защите».
Работник или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно. Отдел по управлению персоналом Товарищества собирает и хранит Согласия на сбор и обработку персональных данных в личных делах работников.
Работник Товарищества или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам РК, либо при наличии неисполненного обязательства.
В случае предоставления работником заведомо ложных документов или сведений при заключении ТД, либо переводе на другую работу, если подленные документы или сведения могли являться основаниями для отказа в заключении ТД или переводе на другую работу, трудовой договор может быть расторгнут по инициативе работодателя. (пп.17 п. ст. 52 ТК РК).
Сбор персональных данных осуществляется главным образом в Отделе по управлению персоналом Товарищества, а обработка и хранение – как в Отделе по управлению персоналом, так и в других структурных подразделениях Товарищества. Соответствующие должностные лица Товарищества несут персональную ответственность в соответствии с законодательством РК за необеспечении сохранности персональных данных работников, а также за их неправомерное использование.
7. Защита персональных данных
Сбор и обработка персональных данных осуществляется только в случаях обеспечения их защиты.
Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
-
Реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
-
Обеспечение их целостности и сохранности;
-
Соблюдение их конфиденциальности;
-
Реализации права на доступ к ним;
-
Предотвращения незаконного их сбора и обработки.
Товарищество принимает необходимые меры по защите персональных данных, обеспечивая:
Предотвращение несанкционированного доступа к персональным данным;
Своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
Минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
Обязанности Товарищества по защите персональных данных возникают с момента сбора персональных данных и действует до момента их уничтожения либо обезличивания.
8. Права и обязанности Товарищества
В соответствии с Законом РК «О персональных данных и их защите» Товарищество выступая в лице собственника и (или) оператора, имеет право осуществлять сбор, обработку персональных данных в порядке, установленном Законом и иными нормативными правовыми актами РК.
Согласно трудовому законодательству РК работодатель (Товарищество) обязан:
-требовать при приеме на работу документы, необходимые для заключения трудового договора, в соответствии со статьей 32 ТК РК;
-обеспечить ведение реестров или других документов, определяемых работодателем, в которых указываются фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) и дата рождения;
-осуществлять сбор, обработку и защиту персональных данных работника в соответсвии с законодательством РК «О персональных данных и их защите».
Осуществляя свое обязательство по сбору и обработке персональных данных работников в порядке, установленном законодательством РК «О персональных данных и их защите», Товарищество также обязано:
-
Утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач, если иное не предусмотрено законами РК;
-
Принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законмаит РК;
-
Соблюдать законодательство РК « О персональных данных и их защите»;
-
Принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом РК «О персональных данных и их защите» и иными нормативными правовыми актами РК;
-
Представлять доказательство о получении согласия работника на сбор и обработку его персональных данных, в случаях предусмотренных законодательством РК;
-
Сообщать информацию, относящуюся к работнику, в течение трех рабочих дней со дня получения разрешения работника или его законного представителя, если иные сроки не предусмотрены законами РК;
-
В случае отказа предоставить информацию работнику или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены;
В течение одного рабочего дня:
-
Изменить и (или) дополнить персональные данные на основании соответствущих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
-
Блокировать персональные данные, относящиеся к работнику в случае наличия информации о нарушении условий их сбора, обработки;
-
Уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства РК, а также в иных случаях, установленных Законом РК «О персональных данных и их защите» и иными нормативными правовыми актами РК;
- Снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.
9. Права и обязанности работника (субъекта персональных данных)
Права работника по обеспечению защиты своих персональных данных
Согласно трудовому законодавтельству РК работник имеет право на обеспечение защиты персональных данных, хранящихся у работодателя (Товарищества), а также иные права в соответсвии с законоадтельством РК «О персональных данных и их защите»:
Знать о наличии у работодателя, а также третьего лица своих персональных данных, а также получать информацию, содержащую: подтверждения факта сбора и обработки персональных данных; перечень персональных данных; сроки обработки персональных данных; в том числе сроки их хранения;
Требовать от работодателя изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
Требовать от работодателя, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
Требовать от работодателя, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства РК, а также в иных случаях, установленных Законом РК «О персональных данных и их защите» и иными нормативными правовыми актами РК;
Отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных Законом РК «О персональных данных и их защите» и настоящим Положением;
Дать согласие (отказать) работодателю на распространение своих персональных данных в общедоступных источниках персональных данных;
На защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
На осуществление иных прав, предусмотренным Законом РК «О персональных данных и их защите» и иными законами РК.
Обязанности работника Товарищества
Предствалять свои персональные данные, а также согласие на их сбор и обработку, в случаях, установленных законами РК;
В случае изменения персональных данных сообщить об этом в Отдел по управлению персоналом Товарищества в течение 10 календарных дней;
В течение действия трудового договора знакомиться со всеми изменениями, вносимыми в данное Положение.
10. Хранение персональных данных работника
Порядок хранения персональных данных работника в Товариществе установлен с соблюдением требований, определенных законодательством РК.
При приеме на работу уполномоченный сотрудник отдела по управлению персоналом Товарищества знакомит работника под подпись с настоящим Положением, устанавливающим порядок хранения персональных данных работника.
Персональные данные хранятся как на бумажном носителе, так и в электронном виде в базе данных «Isatay Operating One Drive», к которому имеют доступ сотрудники Отдела по управлению персоналом и Руководство Товарищества.
Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством.
11. Доступ и передача персональных данных работника
Обращение (запрос) работника или его законного представителя относительно доступа к своим персональным данным подается в Отдел по управлению персоналом Товарищества письменно либо иным способом с применением элементов защитных действий, не противоречащих законодательству РК.
Товарищество, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия работника или его законного представителя либо наличия законного основания.
Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.
12. Внутренний доступ (доступ внутри Товарищества)
Право доступа к персональным данным работника имеют:
-
Руководящий состав Товарищества в лице Генерального директора и Заместителя Генерального директора, включая директоров и руководителей структурных подразделений (доступ к персональным данным только работников своего подразделения и в объеме, необходимом для выполнения должностных обязанностей;
-
Работники Отдела по управлению персоналом, непосредственно связанных с обработкой, хранением и передачей персональных данных;
-
Работники департамента по финансам и контролю.
Доступ к персональным данным ограничен, а именно предоставлен только к тем данным и в том объеме, которые необходимы для выполнения должностных обязанностей.
13. Внешний доступ
С согласия работника его/ее персональные данные могут передаваться третьим лицам, включая трансграничную передачу персональных данных.
Согласно Закону РК « О персональных данных и их защите» существуют случаи, когда сбор и обработка персональных данных субъекта производится без его/ее согласия. Следовательно при возникновении подобных случаев Товарищество может предоставить доступ к персональным данным работника следующим третьим лицам:
-
Правоохранительным органам и судам, органам исполнительного производства;
-
Государственным органам для статистических целей с обязательным условием их обезличивания;
-
Государственным органам, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций в соответсвии с законодательством РК;
- Иным лицам в случаях, установленных Законом РК «О персональных данных и их защите» и иными законами РК.
14. Ответственность за разглашение информации, связанной с персональными данными работника
Лица, виновные в нарушении норм, регулирующих сбор, обработку, хранение и передачу персональных данных, несут дисциплинарную, административную и уголовную ответсвенность в соответсвии с действующим законодательством РК и иными нормативными правовыми актами.