Политика конфиденциальности

1. Общие положения

1.1. Настоящая политика обработки и защиты персональных данных (далее – Политика) определяет цели сбора, правовые основания, условия и способы обработки персональных данных, права и обязанности оператора, субъектов персональных данных, объем и категории обрабатываемых персональных данных и меры их защиты в МДОУ д/с «Журавушка» с. Вавож (далее ДОУ).

1.2. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в ДОУ, разрабатываются с учетом положений Политики.

1.3. Действие Политики распространяется на персональные данные, которые ДОУ обрабатывает с использованием и без использования средств автоматизации.

2. Основные понятия, используемые в Политике

1.4. В Политике используются следующие понятия:

• персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор)- государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно
• другими лицами организующие и (или) осуществляющие обработку персональных данных, определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными с использованием и без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Основные права и обязанности Оператора

1.5. ДОУ – оператор персональных данных – обязано:

1.5.1. Соблюдать конфиденциальность персональных данных, а именно не распространять персональные данные и не передавать их третьим лицам без согласия субъекта персональных данных или его законного представителя, если иное не предусмотрено законодательством.

1.5.2. Обеспечить субъектам персональных данных, их законным представителям возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законодательством.

1.5.3. Разъяснять субъектам персональных данных, их законным представителям юридические последствия отказа предоставить персональные данные.

1.5.4. Блокировать или удалять неправомерно обрабатываемые, неточные персональные данные либо обеспечить их блокирование или удаление.

1.5.5. Прекратить обработку и уничтожить персональные данные либо обеспечить прекращение обработки и уничтожение персональных данных при достижении цели их обработки.

1.5.6. Прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных в случае отзыва субъектом персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или иным соглашением между ДОУ и субъектом персональных данных.

1.6. ДОУ вправе:

1.6.1. Использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством.

1.6.2. Предоставлять персональные данные субъектов персональных данных третьим лицам в случаях, предусмотренных законодательством.

1.7. Работники, родители несовершеннолетних обучающихся, иные субъекты персональных данных обязаны:

1.7.1. В случаях, предусмотренных законодательством, предоставлять ДОУ достоверные персональные данные.

1.7.2. При изменении персональных данных, обнаружении ошибок или неточностей в них незамедлительно сообщать об этом ДОУ.

4. Основные права и обязанности субъектов персональных данных

1.8. Субъекты персональных данных вправе:

1.8.1. Получать информацию, касающуюся обработки своих персональных данных, кроме случаев, когда такой доступ ограничен федеральными законами.

1.8.2. Требовать от ДОУ уточнить персональные данные, блокировать их или уничтожать, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

1.8.3.Дополнить персональные данные оценочного характера заявлением, выражающим собственную точку зрения.

1.8.4. Обжаловать действия или бездействия ДОУ в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

5. Правовые основания обработки персональных данных

3.1. Политика разработана на основании федерального закона от 27 июля 2006 г. № 149 «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 г., постановления Правительства Российской Федерации постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Указа Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», приказов ФСТЭК России от 11 февраля 2013

• № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю от 31.08.2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования», «Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)», утверждённых приказом председателя Гостехкомиссии России от 30 августа 2002 г. № 282, других нормативных правовых актов Российской Федерации, нормативных и методических документов в области защиты информации, для организации и выполнения мероприятий по защите информации в организации и иных нормативных документов уполномоченных органов государственной власти.

3.2. Правовыми основаниями обработки персональных данных в ДОУ являются устав и нормативные правовые акты, для исполнения которых и в соответствии с которыми ДОУ осуществляет обработку персональных данных, в том числе:

• Трудовой кодекс Российской Федерации, иные нормативные правовые акты, содержащие нормы трудового права;
• Бюджетный кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Семейный кодекс Российской Федерации;
• Федеральный Закон РФ «О персональных данных» от 27.07.2006 №152- ФЗ;
• Федеральный Закон от 29.12.2012 №273-ФЗ «Об образовании в Российской Федерации»;
• Федеральный закон Российской Федерации от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Устав МДОУ и другими нормативно-правовыми актами, действующими на территории РФ.

6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. ДОУ обрабатывает персональные данные:

• работников, в том числе бывших;
• кандидатов на замещение вакантных должностей;
• родственников работников, в том числе бывших;
• обучающихся;
• родителей (законных представителей) обучающихся;
• физических лиц по гражданско- правовым договорам;

• физических лиц, указанных в заявлениях (согласиях, доверенностях) обучающихся и родителей (законных представителей) несовершеннолетних обучающихся;

• физических лиц – посетителей ДОУ.

• 4.2. Специальные категории персональных данных ДОУ обрабатывает только на основании и согласно требованиям федеральных законов.

• 4.3. Биометрические персональные данные ДОУ не обрабатывает.

  4.4. ДОУ обрабатывает персональные данные в объеме, необходимом:

• для осуществления образовательной деятельности по реализации основных и дополнительных программ, обеспечения безопасности, укрепления здоровья обучающихся, создания благоприятных условий для разностороннего развития личности,

• том числе обеспечения отдыха и оздоровления обучающихся;

• выполнения функций и полномочий заведующего в трудовых отношениях;

• выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учета;

• исполнения сделок и договоров гражданско- правового характера, в которых ДОУ является стороной , получателем (выгодоприобретателем).

  4.5. Содержание и объем обрабатываемых персональных данных в ДОУ соответствуют заявленным целям обработки.

7. Цели обработки персональных данных

2.1. Целями сбора персональных данных ДОУ являются:

2.1.1. Организация образовательной деятельности по образовательным программам дошкольного образования в соответствии с законодательством и уставом ДОУ.

2.1.2. Регулирование трудовых отношений с работниками ДОУ.

2.1.3. Реализация гражданско – правовых договоров, стороной, выгодоприобретателем или получателем которых является субъект персональных данных.

2.1.4. Обеспечение безопасности.

8. Порядок и условия обработки персональных данных

5.1. ДОУ осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

5.2. Получение персональных данных:

5.2.1. Все персональные данные ДОУ получает от субъекта персональных данных, а в случаях, когда субъект персональных данных несовершеннолетний, - от его родителей (законных представителей).

• • случае когда субъект персональных данных – физическое лицо, указанное в заявлениях (согласиях, доверенностях) обучающихся и их родителей (законных представителей) несовершеннолетних обучающихся, ДОУ вправе получить персональные данные такого физического лица от обучающихся, их родителей (законных представителей).

5.3. Обработка персональных данных:

5.3.1. ДОУ обрабатывает персональные данные в следующих случаях:

- субъект персональных данных дал согласие на обработку своих персональных данных;

- обработка персональных данных необходима для выполнения МДОУ д/с «Журавушка» с. Вавож возложенных на него законодательством функций, полномочий и обязанностей;

- персональные данные являются общедоступными.

5.3.2.ДОУ обрабатывает персональные данные: - без использования средств автоматизации;

- с использованием средств автоматизации в программах и информационных системах: «1С: Зарплата и кадры», «Электронный детский сад».

5.3.3. ДОУ обрабатывает персональные данные в сроки:

- необходимые для достижения целей обработки персональных  данных;

- определенные законодательством для обработки отдельных видов персональных данных;

- указанные в согласии субъекта персональных данных.

5.4. Хранение персональных данных:

5.4.1.  ДОУ  хранит  персональные  данные  в  течение  срока,  необходимого  для достижения целей их обработки, а документы, содержащие персональные данные, - в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.

5.4.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен.

5.4.3. При обработке персональных данных работника работодатель обязан следовать требованиям, установленным ст. 86 ТК РФ, в частности:

• • действовать в целях соблюдения законов и других нормативных правовых актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения их личной безопасности, контроля качества и количества работы, сохранности имущества организации (п. 1);
• • получать персональные данные исключительно у работника. Если же они могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и заручиться его письменным согласием (п. 3);
• • обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты (п. 7);
• • знакомить работников под подпись с локальными нормативными актами, устанавливающими порядок обработки персональных данных (п. 8).

В силу п. 1 ст. 6, ст. 9 Закона «О персональных данных» обработка персональных данных осуществляется с согласия работника.

Поскольку в случае возникновения спора доказать получение согласия работника на обработку его персональных данных должен работодатель (ч. 3 ст. 9 Закона о персональных данных), целесообразно оформить такое согласие письменно. В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

• • при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ);
• • при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях (абз. 2 ст. 88 ТК РФ);
• • для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни).

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных).

• в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Работодатель с согласия работника вправе поручить обработку его персональных данных (ведение кадрового, бухгалтерского учета и пр.) другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора). Отметим, что ответственность перед работником за действия указанного лица несет работодатель (ч. 5 ст. 6 Закона о персональных данных).

Согласие работника на обработку персональных данных должно включать (ч. 4 ст. 9 Закона о персональных данных):

1)           фамилию,        имя,      отчество,          адрес   работника,      реквизиты       документа,  удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе;

2. при получении согласия от представителя работника - его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
3. наименование или фамилию, имя, отчество и адрес работодателя;
4. цель обработки персональных данных;
5. перечень персональных данных, которые подлежат обработке;
6. фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации;
7. перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки;
8. срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия;
9. подпись работника.

Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Это следует из ч. 2 ст. 9 указанного Закона.

• силу абз. 11 п. 5 Разъяснений Роскомнадзора получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Однако если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, либо соискатель сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц, то согласие на обработку его персональных данных не требуется.

Согласие не требуется и в тех случаях, когда:

- обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. п. 2, 5 ч. 1 ст. 6 Закона о персональных данных);

- это предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке (абз. 2 Разъяснений Роскомнадзора);

- обязанность по обработке предусмотрена законодательством, в том числе для опубликования и размещения персональных данных работников в Интернете (абз. 1 п. 1 Разъяснений Роскомнадзора). К примеру, медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, о своих медицинских работниках, уровне их образования, квалификации (п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 N 323-ФЗ);

- обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных). Такая обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (абз. 6 ч. 2 ст. 331 ТК РФ);

- обработка персональных данных специальных категорий проводится органами прокуратуры при условии, что такие данные были получены в установленных законодательством РФ случаях (п. 7.1 ч. 2 ст. 10 Закона о персональных данных);

- проводится обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой (форма N Т-2, утвержденная Постановлением Госкомстата России от 05.01.2004 N 1), а также при получении алиментов, оформлении социальных выплат, допуска к государственной тайне и др. (абз. 1 п. 2 Разъяснений Роскомнадзора);

 - обработка персональных данных связана с выполнением работником своих трудовых обязанностей (п. 3 Разъяснений Роскомнадзора);

- обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений (абз. 1 п. 5 Разъяснений Роскомнадзора);

 - персональные данные работника передаются третьим лицам в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральными законами (абз. 2 ст. 88 ТК РФ). Подробнее об этом см. раздел "Передача персональных данных" настоящего материала;

 - обработка персональных данных осуществляется в отношении уволенных работников, например, в рамках бухгалтерского и налогового учета (пп. 5 п. 3 ст. 24 НК РФ, ст. 29 Федерального закона от 06.12.2011 N 402-ФЗ, абз. 6 - 10 п. 5 Разъяснений Роскомнадзора).

5.4.4. Обработка персональных данных без использования средств автоматизации Согласно п. 3 ст. 4 Закона о персональных данных порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами РФ.

В настоящее время действует Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 N 687 (далее - Положение). Согласно данному Положению обработкой персональных данных без применения средств автоматизации считаются использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека (п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687). Соответственно, если персональные данные работников обрабатываются в компьютерной (информационной) системе, это не означает, что данная обработка производится с помощью средств автоматизации (п. 2 Положения). Таким образом, к обработке персональных данных работников в организации должны применяться правила, предусмотренные для обработки данных без использования средств автоматизации.

Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.

Согласно п. 6 Положения лица, осуществляющие обработку персональных данных без использования средств автоматизации (в т.ч. сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).

Пункт 7 Положения содержит условия, которые необходимо соблюдать при использовании типовых форм документов, предполагающих или допускающих включение в них персональных данных, например унифицированных форм первичной учетной документации по учету труда и его оплаты, утвержденных Постановлением Госкомстата России от 05.01.2004 N 1.

Согласно пп. "а" п. 7 Положения типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; фамилию, имя, отчество и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения данных; сроки их обработки; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки  персональных данных.

Типовая форма должна содержать поле, в котором субъект персональных данных может проставить отметку о согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения такого согласия (пп. "б" п. 7 Положения).

При этом форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов иных субъектов персональных данных (пп. "в" п. 7 Положения). Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы (пп. "г" п. 7 Положения).

5.4.5. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.

5.4.6. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.

5.4.7. Обработка персональных данных с использованием средств автоматизации Согласно ст. 3 Закона о персональных данных под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники. Необходимо учитывать, что обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержались в информационной системе персональных данных либо были извлечены из нее (п. 2 Положения).

Персональные данные работников обрабатывает уполномоченный на это представитель работодателя. Следовательно, он должен руководствоваться правилами, предусмотренными для обработки персональных данных без использования средств автоматизации. Подробнее об этом см. п. 3 настоящего материала.

5.5. Прекращение обработки персональных данных:

5.5.1. Лица ответственные за обработку персональных данных в ДОУ, прекращают их обрабатывать в следующих случаях:

• • достигнутые цели обработки персональных данных;
  • истек срок действия согласия на обработку персональных данных;
  • отозвано согласие на обработку персональных данных;
  • обработка персональных данных неправомерна.

5.6. Передача персональных данных:

5.6.1. ДОУ обеспечивает конфиденциальность персональных данных.

5.6.2. ДОУ передает персональные данные третьим лицам в следующих случаях:

• • субъект персональных данных дал согласие на передачу своих данных;
• • передать данные необходимо в соответствии с требованиями законодательства в рамках установленной процедуры.

5.6.3. ДОУ не осуществляет трансграничную передачу персональных данных.

5.7. ДОУ принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, также от иных неправомерных действий в отношении персональных данных, в том числе:

• • издает локальные нормативные акты, регламентирующие обработку персональных данных;
• • назначает ответственного за организацию обработки персональных данных;
  • определяет список лиц, допущенных к обработке персональных данных;
  • знакомит  работников,  осуществляющих  обработку  персональных  данных,  с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных.

9. Получение персональных данных

6.1. Получение персональных данных у работника

Все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ). Причем это допускается только с его согласия (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ).

Сказанное применимо и к соискателям. Например, согласие на получение персональных данных требуется:

• от претендента на замещение вакантной должности на период принятия работодателем решения о приеме либо отказе в приеме на работу (абз. 11, 12 - 17 п. 5 Разъяснений Роскомнадзора): при поступлении резюме по каналам электронной почты, факсимильной связи; при сборе персональных данных посредством типовой формы анкеты соискателя, утвержденной работодателем;
• для включения соискателя в кадровый резерв работодателя (абз. 22 - 25 п. 5 Разъяснений Роскомнадзора).

Решение работника (соискателя) о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо (п. 1 ст. 9 Закона о персональных данных).

Принимая решение о предоставлении своих данных, работник дает согласие на их обработку (п. 1 ст. 9 Закона о персональных данных). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закона о персональных данных, абз. 3 п. 5 Разъяснений Роскомнадзора).

Не требуется согласие на обработку персональных данных работника (соискателя), получаемых, в частности (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

1) из документов (сведений), предъявляемых при заключении трудового договора в соответствии со ст. 65, ч. 4 ст. 275 ТК РФ;

2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора);
3. в объеме, предусмотренном унифицированной формой N Т-2 (утв. Постановлением Госкомстата России от 05.01.2004 N 1), в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора);
4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора);
5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора).

Работодатель не вправе получать сведения о работнике, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 4 ст. 86 ТК РФ, ч. 1 ст. 10 Закона о персональных данных). Исключения из этого правила установлены в ч. 2 ст. 10 Закона о персональных данных.

6.2. Получение персональных данных работника у третьих лиц. Согласие работника на получение работодателем персональных данных у третьих лиц

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

• цели получения персональных данных работника у третьего лица;
• предполагаемые источники информации (лица, у которых будут запрашиваться данные);
• способы получения данных, их характер;
• возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Информацию, не имеющую отношения к перечисленным в п. 1 ст. 86 ТК РФ целям, работодатель не вправе запрашивать у третьих лиц даже с согласия работника.

10. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.

10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора mail@mail.ru с пометкой «Актуализация персональных данных».

10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора mail@mail.ru с пометкой «Отзыв согласия на обработку персональных данных».

10.5. Вся информация, которая собирается сторонними сервисами, в том числе средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.

10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.

10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.

10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.

10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

11. Перечень действий, производимых Оператором с полученными персональными данными

11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

12. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

13. Заключительные положения

13.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты mail@mail.ru.

13.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.

13.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://site-r00.gosweb.gosuslugi.ru/policy/.