Положение об обработке и защите персональных данных работников

Положение

об обработке и защите персональных данных работников

1. Общие положения

1.1. Настоящее Положение об обработке персональных данных работников (далее - Положение) определяет порядок обработки и защиты персональных данных работников                

наименование оператора-работодателя

(далее - работников Оператора).

1.2. Цели разработки Положения:

• Определение порядка обработки персональных данных работников Оператора, в т. ч. хранения, использования, уничтожения персональных данных работников Оператора;
• Соблюдение и обеспечение защиты прав и интересов работников Оператора при обработке их персональных данных, в т. ч. прав на неприкосновенность частной жизни, личную и семейную тайну;
• Определение для каждой цели обработки персональных данных категорий и перечня обрабатываемых персональных данных;
• Определение способов обработки персональных данных работников Оператора, сроков их обработки и хранения, порядка уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", иными нормативными актами, действующими на территории Российской Федерации, локальными нормативными актами Оператора, в том числе Правилами внутреннего трудового распорядка Оператора.

1.4. Положение распространяется на всех работников, которые участвуют в обработке персональных данных или могут получить к ним доступ в процессе выполнения своих трудовых обязанностей. Все работники Оператора должны быть ознакомлены с настоящим Положением, а также со всеми дополнениями и изменениями к нему под подпись. При приеме на работу ознакомление производится до подписания трудового договора.

1.5. Положение вступает в силу с момента его утверждения руководителем Оператора и действует до его отмены приказом руководителя Оператора или до введения нового Положения.

1.6. Все изменения в Положение утверждаются приказом руководителя Оператора и вступают в силу с момента подписания соответствующего приказа.

1.7. Все термины, использующиеся в настоящем Положении, понимаются в соответствии с их значениями, определенными в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Цели и правовые основания обработки персональных данных. Состав персональных данных

2.1. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки.

2.2. Обработка персональных данных осуществляется в целях исполнения трудовых договоров и соблюдения норм трудового законодательства РФ, в частности, для:

• идентификации личности работников;
• соблюдения требований и норм об охране труда, проведения обязательных медицинских осмотров;
• приема на работу, перевода, оформления отпусков, направления в командировки, увольнения, изменения условий оплаты труда;
• оформления доверенностей для представления интересов Оператора у контрагентов Оператора, в государственных и муниципальных органах;
• расчета и перечисления заработной платы, пособий;
• отчисления страховых взносов;
• налогообложения доходов работников, в отношении которых Оператор выступает налоговым агентом;
• заполнения первичной учетной документации по учету труда и его оплаты в соответствии с законодательством Российской Федерации в области государственной статистической деятельности;
• содействия работникам в получении образования и продвижении по службе;
• предоставления со стороны Оператора установленных законодательством условий труда, гарантий и компенсаций;
• осуществления контроля за количеством и качеством выполняемой работы;
• выполнения Оператором обязанностей по направлению сведений в налоговые органы, СФР, военные комиссариаты и другие государственные органы власти и их территориальные органы, бюджетные и внебюджетные фонды РФ;

2.3. Правовыми основаниями обработки персональных данных являются:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";
• Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
• Закон РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации";
• Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете";
• Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью";

2.4. Состав персональных данных работников Оператора:

2.4.1. Общие персональные данные:

• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• гражданство;
• вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
• сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;
• сведения о профессии, занимаемой должности, переводах, структурном подразделении;
• сведения о поощрениях, наградах, взысканиях и привлечении к ответственности;
• адрес регистрации и адрес фактического места жительства;
• идентификационный номер налогоплательщика;
• страховой номер индивидуального лицевого счета;
• сведения о семейном положении, составе семьи;
• номер телефона;
• сведения о заработной плате, о доходе с предыдущего места работы, о предыдущих местах работы, периодах и стаже работы;
• информация об отношении работника к воинской обязанности, реквизиты документов воинского учета;
• номера расчетного счета и банковской карты;
• сведения о доходах, обязательствах по исполнительным документам;
• сведения, содержащиеся в документах, дающих право на пребывание и трудовую деятельность на территории РФ;
• сведения, содержащиеся в разрешении на временное проживание или виде на жительство;
• сведения о наличии социальных льгот;
• иная информация, относящаяся к работнику, необходимая работодателю в связи с трудовыми отношениями;

2.4.2. Специальные персональные данные:

• результаты медицинских осмотров, информация о заболеваниях, затрудняющих выполнение трудовой функции;
• сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;

Вариант:

2.4.3. Биометрические персональные данные:

• фотографическое изображение работника;

2.5. Оператор обрабатывает только ту информацию о состоянии здоровья работников, которая относится к вопросу о возможности выполнения ими трудовой функции и соблюдения требований охраны труда.

2.6. Оператор не обрабатывает персональные данные работников о расовой, национальной принадлежности, политических взглядах, членстве в общественных объединениях, профсоюзной деятельности, религиозных и философских убеждениях, частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, получать и обрабатывать данные о частной жизни работников допускается только с их письменного согласия.

3. Сбор персональных данных

3.1. Оператор обрабатывает персональные данные следующими способами:                

               .

способ обработки: с использованием средств автоматизации, без использования средств автоматизации

или смешанный способ

3.2. При обработке персональных данных оператор осуществляет следующие действия с персональными данными:                

               .

перечень действий, входящих в понятие обработки, которые оператор осуществляет с персональными данными, например, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение

3.2.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных у Оператора осуществляются посредством:

• получения оригиналов документов либо их копий;
• копирования оригиналов документов;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях;
• внесения персональных данных в информационные системы персональных данных.

3.3. Первичное получение персональных данных работника производится непосредственно у самого работника.

3.4. Информация, представляемая работником при поступлении на работу к Оператору, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет работодателю оригиналы следующих документов:

• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;
• документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
• документ об образовании и (или) о квалификации или наличии специальных знаний в случаях, когда это предусмотрено федеральным законом;
• справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданная в порядке и по форме, которые устанавливаются МВД России, в случаях, когда это предусмотрено федеральным законом;
• справку о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ в случаях, когда это предусмотрено федеральным законом;
• полис добровольного медицинского страхования, действующий на территории РФ, в случаях, когда это предусмотрено федеральным законом;
• разрешение на работу или патент - для иностранных граждан;
• разрешение на временное проживание в РФ - для иностранных граждан, временно проживающих в РФ;
• вид на жительство - для иностранных граждан, постоянно проживающих в РФ;
• справку о характере и условиях труда по основному месту работы - для работников по совместительству;

3.5. В процессе трудовой деятельности работник может предоставлять работодателю иные документы, необходимые для соблюдения законодательства Российской Федерации, в том числе, документы, содержащие сведения:

• об инвалидности;
• о донорстве;
• о наличии и возрасте детей;
• о временной нетрудоспособности;
• о беременности.

3.6. Оператор создает и накапливает документы, содержащие персональные данные работников, в процессе их трудовой деятельности. В частности, к ним относятся:

• приказы и распоряжения по кадровым вопросам - при приеме, переводе, увольнении работников;
• личные дела, трудовые книжки, сведения о трудовой деятельности работников;
• документы, получаемые в процессе аттестации работников, внутренних расследований;
• отчетность в государственные органы.

3.7. Оператор получает от каждого работника согласие на обработку его персональных данных во всех случаях, за исключением ситуаций, когда законодательством Российской Федерации предусмотрено право Оператора обрабатывать персональные данные без согласия работников. Работник вправе отозвать согласие на обработку персональных данных в порядке, предусмотренном в тексте такого согласия, либо путем подачи работодателю письменного заявления. Обработка биометрических персональных данных работника допускается только при наличии его письменного согласия, за исключением случаев, предусмотренных ч. 2 ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

3.8. Работник уведомляет Оператора об изменениях в его персональных данных и предоставляет документы, содержащие новые либо измененные персональные данные, в порядке, установленном Правилами внутреннего трудового распорядка Оператора.

3.9. Оператор вправе получать персональные данные работника от третьих лиц только в случае получения письменного согласия работника. Оператор обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.10. При принятии юридически значимых решений и решений, затрагивающих интересы работника, Оператор не основывается на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.11. Оператор по требованию работника исключает или исправляет неверные или неполные персональных данные, а также данные, обрабатываемые с нарушением требований ТК РФ или иных федеральных законов.

Вариант:

3.12. При поступлении на работу работник фотографируется на пропуск. Обработка биометрических персональных данных, в том числе фотографического изображения, допускается только с письменного согласия работника.

4. Доступ к персональным данным

4.1. До начала обработки персональных данных Оператор назначает лицо, ответственное за организацию обработки персональных данных.

4.2. Лицо, ответственное за обработку персональных данных:

• получает указания от исполнительного органа Оператора;
• контролирует соблюдение Оператором и его работниками требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в том числе требований к защите персональных данных;
• доводит до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов;
• отчитывается перед исполнительным органом Оператора об исполнении мероприятий по обработке персональных данных и требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
• оформляет и подписывает уведомление, предусмотренное ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

4.3. Оператор обеспечивает ознакомление под подпись сотрудников, непосредственно осуществляющих обработку персональных данных:

• с положениями и требованиями законодательства о персональных данных;
• с настоящим Положением;
• с иными локальными нормативными актами по вопросам обработки персональных данных.

4.4. Для выполнения своих трудовых обязанностей доступ к персональным данным имеют следующие лица и структурные подразделения Оператора:

• руководитель Оператора, (вариант: руководители структурных подразделений) - для обеспечения текущей деятельности организации, выполнения организационно-распорядительных функций, подписания документов;
• главный бухгалтер (вариант: бухгалтерия) - для ведения бухгалтерского, налогового и управленческого учета, расчета и выплаты заработной платы, исчисления и уплаты НДФЛ, страховых взносов, иных обязательных платежей, подачи отчетности в государственные органы, фонды,                ;

перечислить иные цели, для которых предоставляется

доступ к персональным данным

• отдел кадров - для найма, перевода, увольнения работников, ведения кадрового учета и штатного расписания;
• юридический отдел - для участия в судебных процессах, оформления доверенностей, взаимодействия с государственными органами в рамках ответов на их запросы, требования, а также при проведении контрольных (надзорных) мероприятий;
• служба охраны труда - для обеспечения функционирования системы управления охраной труда у Оператора;

Вариант:

• секретарь Оператора - для организации командировок, отправки почтовой корреспонденции.

4.5. Прежде чем получить доступ к персональным данным в целях выполнения своих трудовых обязанностей, работники подписывают обязательство о неразглашении персональных данных.

4.6. Персональные данные работников Оператора, доступ к которым получили другие работники в целях выполнения своих обязанностей, могут быть использованы только в тех целях, для которых они сообщены. Оператор вправе требовать от работников, получивших доступ к персональным данным, подтверждения, что персональные данные используются в целях, для которых они сообщены. Состав и объем персональных данных, доступ к которым получают работники Оператора в целях выполнения своих трудовых обязанностей, ограничены только теми сведениями, которые необходимы и достаточны для выполнения конкретных функций.

5. Передача персональных данных

5.1. Оператор и его работники, получившие доступ к персональным данным работника, обязаны не раскрывать третьим лицам и не распространять персональные данные без его согласия, кроме случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных федеральным законом.

5.2. Оператор передает персональные данные работников в следующих случаях:

• в государственные органы власти и их территориальные органы, бюджетные и внебюджетные фонды РФ - во исполнение требований законодательства и для исполнения обязанностей, возложенных на Оператора: при подаче отчетности, уплате обязательных платежей, по мотивированным запросам государственных органов;
• в гостиницы, отели, транспортные компании - при выполнении работниками трудовых обязанностей, в том числе, при их командировании;
• в лечебно-профилактические учреждения - для проведения предварительных и периодических медицинских осмотров;
• в образовательные учреждения - для прохождения программ обучения, профессиональной переподготовки, повышения квалификации;
• в кредитные организации, в которых у работников открыты счета - для перечисления заработной платы и других причитающихся им сумм.

5.3. При передаче персональных данных Оператор уведомляет третьих лиц, что персональные данные работников могут быть использованы только в тех целях, для которых они сообщены. Оператор вправе требовать от третьих лиц, получивших доступ к персональным данным, подтверждения, что персональные данные используются в целях, для которых они сообщены. Состав и объем персональных данных, доступ к которым получают третьи лица, ограничены только теми сведениями, которые необходимы и достаточны для выполнения конкретных функций.

5.4. Согласие на передачу и распространение своих персональных данных работник дает в письменной форме. Согласие на обработку персональных данных, разрешенных работником для распространения, оформляется отдельно от иных согласий на обработку персональных данных.

5.5. Оператор вправе поручить обработку персональных данных стороннему лицу, которое не связано обязательством о неразглашении персональных данных. Основанием для такой передачи являются:

• согласие работника, чьи данные он будет передавать, если федеральным законом не предусмотрено иное;
• поручение Оператора в виде гражданско-правового договора.

5.6. При поручении обработки персональных данных третьим лицам Оператор требует от них:

• соблюдать принципы и условия обработки персональных данных и другие требования, которые установлены Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
• соблюдать конфиденциальность персональных данных работников;
• соблюдать требования ч. 5 ст. 18, ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
• предоставлять Оператору документы и информацию о принятии мер и соблюдении требований ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" по его запросу в течение срока действия поручения, в том числе до начала обработки персональных данных;
• обеспечивать безопасность персональных данных при их обработке;
• уведомлять Оператора о случаях утечки персональных данных работников (ч. 3.1 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных");
• использовать персональные данные работников только в тех целях, для которых Оператор их передал (ст. 88 ТК РФ).

5.7. При поручении обработки персональных данных третьим лицам ответственность перед работниками несет Оператор.

6. Защита персональных данных

6.1. Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных работников в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

6.2. Оператор использует следующие информационные системы:

• корпоративная электронная почта;
• система управления персоналом;
• система управления взаимоотношениями с клиентами;
• система контроля удаленным доступом;
• система электронного документооборота;

6.3. Оператор определяет тип угрозы безопасности персональных данных, уровень их защищенности и на основании этой информации подбирает комплекс обязательных мер защиты персональных данных.

6.4. Для определения степени ущерба, который может быть нанесен работникам из-за нарушений Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", оператор проводит оценку возможного вреда. Для проведения оценки возможного вреда оператор организует специальную комиссию (вариант: уполномочивает на это лицо, ответственное за организацию обработки персональных данных).

6.5. По результатам оценки вреда Оператор составляет акт в соответствии с требованиями, утвержденными Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ от 27.10.2022 N 178.

6.6. Для защиты персональных данных Оператор:

• утверждает перечень лиц, имеющих доступ к персональным данным в связи с исполнением ими трудовых обязанностей;
• определяет помещения, в которых хранятся персональные данные, и порядок доступа к ним;
• издает локальные нормативные акты в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
• обеспечивает сохранность носителей персональных данных;
• использует средства защиты информации, если без них невозможно исключить угрозы безопасности персональных данных;

Вариант:

• назначает лицо, ответственное за организацию обработки персональных данных;
• обеспечивает доступ к содержанию электронного журнала сообщений только для сотрудников или уполномоченного лица, которым доступ нужен для выполнения трудовых обязанностей;
• автоматически регистрировать в электронном журнале безопасности случаи, когда изменились полномочия сотрудника по доступу к персональным данным;

6.7. Оператор обеспечивает хранение материальных носителей персональных данных в шкафах, которые запираются на ключ. Ключи выдает                

должность уполномоченного лица

под подпись.

6.8. Оператор осуществляет учет машинных носителей персональных данных в журнале учета машинных носителей.

6.9. Оператор использует сертифицированное антивирусное программное обеспечение.

6.10. Персональные компьютеры, в которых содержатся персональные данные, защищаются паролями доступа.

6.11. Оператор включает в должностные инструкции работников, имеющих доступ к персональным данным, требование о необходимости сообщать о случаях несанкционированного доступа к персональным данным. Работники, имеющие доступ к персональным данным, подписывают обязательство об их неразглашении и предупреждаются об ответственности за нарушение режима конфиденциальности персональных данных.

6.12. Оператор осуществляет контроль за исполнением работниками Оператора требований законодательства о персональных данных и локальных нормативных актов Оператора.

6.13. Оператор обеспечивает:

• своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до лица, обеспечивающего организацию обработки персональных данных;
• уведомление уполномоченных органов о фактах несанкционированного доступа к персональным данным в порядке, установленном федеральным законодательством;
• взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, которые обрабатываются в информационных системах Оператора;
• регистрацию и учет всех действий, совершаемых с персональными данными в информационных системах Оператора.

6.14. Оператор обеспечивает процедуру оценки соответствия средств защиты информации в случаях, когда их применение необходимо, чтобы исключить угрозу безопасности персональных данных.

6.15. В отношении персональных данных, которые Оператор обрабатывает без средств автоматизации, он руководствуется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 N 687.

6.16. В случае, если Оператор выявил факт неправомерной или случайной передачи персональных данных, которая повлекла нарушение прав субъектов, он:

• уведомляет об этом Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ в течение 24 часов с момента выявления такого инцидента;
• проводит внутреннее расследование выявленного инцидента;
• представляет в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ информацию о результатах внутреннего расследования в течение 72 часов с момента выявления такого инцидента.

6.17. Обязанность, предусмотренную п. 6.16 настоящего Положения, Оператор выполняет в соответствии с требованиями и в порядке, установленными ч. 3.1 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ от 14.11.2022 N 187.

7. Хранение, сроки и порядок уничтожения персональных данных

7.1. Оператор хранит персональные данные с использованием баз данных, находящихся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

7.2. Оператор хранит персональные данные не дольше, чем этого требуют цели их обработки, в форме, позволяющей определить субъекта персональных данных, за исключением случаев, когда срок хранения установлен федеральным законом или договором, стороной которого либо выгодоприобретателем, поручителем по которому является работник.

7.3. Оператор прекращает обработку персональных данных в следующих случаях и в следующие сроки:

• при выявлении факта неправомерной обработки персональных данных - в течение трех рабочих дней со дня выявления такого факта;
• при достижении целей их обработки - в течение тридцати дней с даты достижения цели, кроме случаев, предусмотренных ч. 4 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". В указанный срок Оператор также обеспечивает уничтожение персональных данных, если сохранение персональных данных не требуется для целей их обработки;
• по истечении срока действия или при отзыве работником согласия на обработку персональных данных (кроме случаев, предусмотренных законом), если в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" их обработка допускается только с его согласия;
• при обращении работника к Оператору с требованием о прекращении обработки персональных данных, за исключением случаев, предусмотренных ч. 5.1 ст. 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", - в течение десяти рабочих дней с даты получения требования.

7.4. Для уничтожения персональных данных Оператор формирует специальную комиссию (вариант: уполномочивает на это лицо, ответственное за организацию обработки персональных данных).

7.5. Оператор уничтожает персональные данные следующими способами:

• разрезание или сжигание бумажных носителей, пропуск документов через шредер;
• стирание информации с электронного носителя на устройстве гарантированного уничтожения информации, уничтожение микросхем диска.

7.6. При уничтожении персональных данных, которые обрабатываются без средств автоматизации, Оператор формирует акт об уничтожении персональных данных. При уничтожении персональных данных, которые обрабатываются с использованием средств автоматизации или смешанным способом, Оператор формирует акт об уничтожении персональных данных и выгрузку из журнала регистрации событий в информационной системе персональных данных. При формировании этих документов Оператор руководствуется Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ от 28.10.2022 N 179.

7.7. Оператор блокирует и обезличивает персональные данные в порядке и в случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

8. Трансграничная передача персональных данных

8.1. Оператор осуществляет трансграничную передачу персональных данных в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и международными договорами РФ.

8.2. До начала осуществления деятельности по трансграничной передаче персональных данных оператор уведомляет Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ о своем намерении осуществлять трансграничную передачу персональных данных.

8.3. В случае принятия Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ решения, предусмотренного ч. 8 или 12 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.

9. Права и обязанности Оператора и работников Оператора. Ответственность за разглашение персональных данных

9.1. Оператор и работники Оператора имеют права и несут обязанности в сфере обработки персональных данных в соответствии с законодательством о персональных данных.

9.2. Оператор обязан:

• соблюдать законодательство о персональных данных и требования настоящего Положения при обработке персональных данных работников Оператора;
• обеспечивать конфиденциальность персональных данных работников;
• обеспечивать хранение документов по учету труда и его оплаты;
• выдавать работникам по их письменному заявлению копии документов, связанных с работой, или выписки из таких документов, если они содержат персональные данные других работников;
• разъяснять работникам последствия их отказа от предоставления согласия на обработку персональных данных в случаях, когда такое согласие необходимо.