Положение об обработке и защите персональных данных. Положение о персональных данных (образец) Положение по обработке персональных данных образец

Настоящее Положение устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным сотрудников ЗАО "!!!". Под сотрудниками подразумеваются лица, имеющие трудовые отношения с ЗАО "!!!".

1.1. Цель

Настоящее Положение является развитием комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у работодателя, посредством планомерных действий по совершенствованию организации труда.

1.2. Основания

Основанием для разработки данного Положения являются:

― Конституция РФ от 12.12.1993;

― Трудовой кодекс РФ № 197 - ФЗ от 01.02.2002;

― Кодекс РФ об административных правонарушениях № 195 - ФЗ от 30.12.2001 г.;

― Федеральный закон № 24 - ФЗ от 20.02.1995 "Об информации, информатизации и защите информации";

― Указ Президента РФ № 188 от 06.09.1997 "Об утверждении перечня сведений конфиденциального характера".

1.3. Порядок ввода в действие Положения о защите персональных данных и изменений к нему

Положение о защите персональных данных и изменения к нему вводятся приказом по общей деятельности ЗАО "!!!" и утверждаются Генеральным директором. Все сотрудники организации должны быть ознакомлены под расписку с данным Положением и изменениями к нему.

1. Понятие и состав персональных данных

Под персональными данными сотрудников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника, а также сведения о фактах, событиях и обстоятельствах жизни сотрудника, позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией. К персональным данным относятся:

― все биографические сведения сотрудника;

― образование;

― специальность;

― занимаемая должность;

― наличие судимостей;

― адрес местожительства;

― домашний телефон;

― состав семьи;

― место работы или учебы членов семьи и родственников;

― характер взаимоотношений в семье;

― размер заработной платы;

― состав декларируемых сведений о наличии материальных ценностей;

― подлинники и копии приказов по личному составу;

― личные дела, личные карточки (форма Т2) и трудовые книжки сотрудников;

― основания к приказам по личному составу;

― копии отчетов, направляемые в органы статистики;

― анкета;

― копии документов об образовании;

― результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

― фотографии и иные сведения, относящиеся к персональным данным сотрудника.

Указанные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

Собственником информационных ресурсов (персональных данных) - является субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные, и который вступил (стал сотрудником) или изъявил желание вступить в трудовые отношения с работодателем. Субъект персональных данных самостоятельно решает вопрос передачи работодателю своих персональных данных.

Держателем персональных данных является работодатель, которому сотрудник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

Права и обязанности работодателя в трудовых отношениях осуществляются физическим лицом, уполномоченным работодателем. Указанные права и обязанности он может делегировать нижестоящим руководителям - своим заместителям, руководителям структурных подразделений, работа которых требует знания персональных данных работников или связана с обработкой этих данных.

Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи и разглашения.

1. Принципы обработки персональных данных

Обработка персональных данных включает в себя их получение, хранение, комбинирование, передачу, а также актуализацию, блокирование, защиту, уничтожение.

Получение, хранение, комбинирование, передача или любое другое использование персональных данных сотрудника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Все персональные данные сотрудника получаются у него самого. Если персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение.

Не допускается получение и обработка персональных данных сотрудника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

При принятии решений относительно сотрудника на основании его персональных данных не допускается использование данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ возможно получение и обработка данных о частной жизни сотрудника только с его письменного согласия.

Пакет анкетно-биографических и характеризующих материалов (далее пакет) сотрудника формируется после издания приказа о его приеме на работу. Пакет обязательно содержит личную карточку формы Т-2, а также может содержать документы, содержащие персональные данные сотрудника, в порядке, отражающем процесс приема на работу.

Все документы хранятся в папках в алфавитном порядке фамилий сотрудников.

Пакет пополняется на протяжении всей трудовой деятельности сотрудника в данной организации. Изменения, вносимые в карточку Т-2, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке).

Сотрудник отдела кадров, ответственный за документационное обеспечение кадровой деятельности, принимает от принимаемого на работу сотрудника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами.

Под блокированием персональных данных понимается временное прекращение операций по их обработке по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

При обработке персональных данных сотрудников работодатель в лице Генерального директора вправе определять способы обработки, документирования, хранения и защиты персональных данных сотрудников ЗАО "!!!" на базе современных информационных технологий.

Сотрудник обязан:

― передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;

― своевременно сообщать работодателю об изменении своих персональных данных.

Сотрудник имеет право на:

― полную информацию о своих персональных данных и обработке этих данных;

― свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ;

― определение своих представителей для защиты своих персональных данных;

― доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;

― требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения;

― требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

― обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

1. Доступ к персональным данным

Персональные данные добровольно передаются сотрудником непосредственно держателю этих данных и потребителям внутри ЗАО "!!!" исключительно для обработки и использования в работе.

Внешний доступ. К числу массовых потребителей персональных данных вне ЗАО "!!!" можно отнести государственные и негосударственные функциональные структуры:

― налоговые инспекции;

― правоохранительные органы;

― органы статистики;

― страховые агентства;

― военкоматы;

― органы социального страхования;

― пенсионные фонды;

― подразделения муниципальных органов управления.

Внутренний доступ. Внутри ЗАО "!!!" к разряду потребителей персональных данных относятся сотрудники функциональных структурных подразделений, которым эти данные необходимы для выполнения должностных обязанностей:

― начальник отдела кадров;

― сотрудники бухгалтерии;

― начальники структурных подразделений.

В кадровом отделе хранятся личные карточки сотрудников, работающих в настоящее время. Для этого используются специально оборудованные шкафы или сейфы, которые запираются. Личные карточки располагаются в алфавитном порядке.

После увольнения документы по личному составу передаются на хранение.

1. Передача персональных данных

При передаче персональных данных сотрудника работодатель должен соблюдать следующие требования:

Передача внешнему потребителю:

― передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;

― при передаче персональных данных сотрудника потребителям (в том числе и в коммерческих целях) за пределы ЗАО "!!!" работодатель не должен сообщать эти данные третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника или в случаях, установленных федеральным законом;

― ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения Генерального директора и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений;

― не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу;

― по возможности персональные данные обезличиваются.

Передача внутреннему потребителю. Работодатель вправе разрешать доступ к персональным данным сотрудников. Потребители персональных данных должны подписать обязательство о неразглашении персональных данных сотрудников (Приложение №1).

1. Защита персональных данных

Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности предприятия.

6.1. "Внутренняя защита"

Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами предприятия. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

― ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;

― строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

― рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;

― знание сотрудниками требований нормативно - методических документов по защите информации и сохранении тайны;

― наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

― определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

― организация порядка уничтожения информации;

― своевременное выявление нарушения требований разрешительной системы доступа сотрудниками подразделения;

― воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

― не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Генеральному директору, и в исключительных случаях, по письменному разрешению Генерального директора, руководителю структурного подразделения;

― персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

6.2. "Внешняя защита"

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности предприятия, посетители, сотрудники других организационных структур.

Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

― порядок приема, учета и контроля деятельности посетителей;

― пропускной режим предприятия;

― порядок охраны территории, зданий, помещений, транспортных средств.

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и является обязательным условием обеспечения эффективности этой системы.

Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

Каждый сотрудник предприятия, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет дисциплинарную, административную, гражданско-правовую или уголовную ответственность граждан и юридических лиц.

Обязательство о неразглашении персональных данных сотрудников

ЗАО "!!!"

Отдел кадров:

Бухгалтерия:

Отдел ИТ:

Руководители подразделений:

ЛИСТ

ознакомления с Положением об обработке и защите персональных данных работников ЗАО "!!!"

1. ОБЩИЕ ПОЛОЖЕНИЯ
   • Настоящим Положением об обработке и защите персональных данных Работников (далее – Положение) устанавливается порядок обработки персональных данных Работников ОГАУЗ «Иркутская городская клиническая больница № 9» (далее Больница или Работодатель) и гарантии конфиденциальности сведений, предоставляемых Работником Работодателю.
   • Работниками являются физические лица (субъекты персональных данных), заключившие с Работодателем трудовые договоры.
   • Обработка персональных данных Работников в Больнице заключается в сборе, записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении, использовании, передаче (распространении, предоставлении, доступе), обезличивании, блокировании, удалении, уничтожении и в защите от несанкционированного доступа к персональным данным.
   • Настоящее Положение и изменения к нему утверждаются Главным врачом Больницы и вводятся в действие приказом по основной деятельности Больницы. Все Работники Больницы должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
   • Настоящее Положение является обязательным для исполнения всеми Работниками Больницы, имеющими доступ к персональным данным Работников.
   • Положение подписывается руководителем отдела кадров. Документ должен быть согласован с заинтересованными должностными лицами, работниками бухгалтерии, юридической службой. С ним следует ознакомить весь персонал организации под роспись. Сотрудники, принимаемые на работу, знакомятся с Положением точно так же, как и с другими локальными нормативно-распорядительными актами организации, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
   • Под персональными данными Работников понимается информация, необходимая Работодателю в связи с трудовыми отношениями и касающаяся конкретного Работника, а также сведения о фактах, событиях и обстоятельствах жизни Работника, позволяющие идентифицировать его личность.
   • Персональные данные Работника, обработка которых осуществляется в Больнице, включают следующие документы и сведения:

• фамилия, имя, отчество;

• фамилия при рождении (либо другие фамилии, если они были);

• день, месяц, год и место рождения;
• паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ);
• гражданство;
• адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;
• номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства;
• сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения);
• копии документов об образовании;
• сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и иные сведения;
• копии документов о повышении квалификации;
• сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона работодателя, а также реквизитов иных организаций с полным наименованием занимаемых ранее в них должностей и времени работы в этих организациях, а также иные сведения;

• данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и дата изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
• вторые экземпляры трудового договора с Работниками;

• сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней;
• трудовые книжки и вкладыши к ним;
• карточки унифицированной формы Т-2 «Личная карточка работника»;
• личные дела Работников в бумажной форме;
• фотографическое изображение работника;
• сведения о заработной плате (номера счетов для расчета с Работниками, в том числе номера их банковских карточек);
• сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии\снятии на(с) учет(а) и иные сведения;
• копии военных билетов;
• сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и) или иных членов семьи, паспортные данные супруга(и) или иных членов семьи (паспортные данные или данные свидетельства о рождении), данные справки по форме 2НДФЛ супруга(и) или иных членов семьи;
• сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
• сведения об идентификационном номере налогоплательщика;
• сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования);

• сведения, указанные в оригиналах и копиях приказов по персоналу Больницы и материалах к ним, в том числе информация об отпусках, о командировках и т.п.;
• оригиналы приказов, изданных в Больнице, и относящиеся к субъекту персональных данных, и материалы к данным приказам;

• сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) Работников Больницы;
• материалы по аттестации и оценке Работников Больницы;
• материалы по внутренним служебным расследованиям в отношении Работников Больницы;
• сведения о временной нетрудоспособности Работников Больницы;
• табельный номер Работника Больницы;
• сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и иные сведения);
• иные сведения, с которыми Работник считает нужным ознакомить Работодателя.

1. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
   • Документы, перечисленные в п.2.2. Положения, содержащие сведения о персональных данных Работников Больницы, являются конфиденциальными. Больница обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Работника, либо наличия иного законного основания.
   • Все меры конфиденциальности при сборе, обработке и хранении персональных данных Работников распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
2. ПРАВА И ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ
   • Работодатель имеет право без согласия Работника осуществлять обработку его персональных данных в следующих случаях:
     • если обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации и в целях исполнения трудового договора с Работником;
     • если обработка персональных данных Работника осуществляется для статистических или иных научных целей при условии обязательного обезличивания его персональных данных;
     • если обработка персональных данных Работника необходима для защиты жизни, здоровья или иных жизненно важных интересов Работника, если получение его согласия невозможно.
     • в случаях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
     • В иных случаях (не поименованных в п.4.1. Положения) Работодатель может осуществлять обработку персональных данных Работника только с письменного согласия Работника. Согласие на обработку персональных данных по основаниям данного пункта может быть отозвано Работником. Обязанность предоставить доказательство получения согласия Работника на обработку его персональных данных по основаниям данного пункта, возлагается на Работодателя.
   • Письменное согласие Работника на обработку своих персональных данных по основаниям пп.4.1.1. Положения должно включать в себя:

• фамилию, имя, отчество, адрес Работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес Работодателя, получающего согласие Работника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие Работник;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва;
• личную подпись Работника.

• В целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных Работника обязаны соблюдать следующие общие требования:

• Обработка персональных данных Работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия Работникам в трудоустройстве, обучения и продвижении в Больнице, обеспечения личной безопасности Работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• При определении объема и содержания персональных данных Работника, подлежащих обработке, Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами.

• Работодатель не имеет права получать и обрабатывать персональные данные Работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Работодатель вправе получать и обрабатывать данные о частной жизни Работника только с его письменного согласия.
• Работодатель не имеет права получать и обрабатывать персональные данные Работника о его членстве в организациях или его профсоюзной деятельности, за исключением случаев, предусмотренных действующим законодательством.
• Работодатель не должен запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.
• При принятии решений, затрагивающих интересы Работника, Работодатель не имеет права основываться на персональных данных Работника, полученных исключительно в результате их автоматизированной обработки.
• Защита персональных данных Работника от неправомерного их использования или утраты должна быть обеспечена Работодателем за счет средств Больницы в порядке, установленном федеральным законодательством.

1. ПРАВА И ОБЯЗАННОСТИ РАБОТНИКА
   • Работник обязан передавать Работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом Российской Федерации, настоящим Положением и Правилами внутреннего трудового распорядка, принятыми в Больнице.
   • Работник должен своевременно в срок, не превышающий пяти рабочих дней, сообщать Работодателю об изменении своих персональных данных.
   • В целях обеспечения защиты персональных данных, хранящихся у Работодателя, Работник имеет право:
     • На полную информацию о своих персональных данных и обработке этих данных; на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Работника, за исключением случаев, предусмотренных федеральным законом.

Сведения о наличии персональных данных должны быть предоставлены Работнику в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

• Определить своих представителей для защиты своих персональных данных.
• Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона.

• Работник вправе требовать от Работодателя уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
• При отказе Работодателя исключить или исправить персональные данные Работника последний имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия;

Персональные данные оценочного характера Работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

• Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
• Обжаловать в суде любые неправомерные действия или бездействие Работодателя при обработке и защите его персональных данных.
• Передача информации третьей стороне возможна только при письменном согласии Работника, за исключением обстоятельств, установленных законодательством.
• Если Работник считает, что Работодатель осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, Работник вправе обжаловать действия или бездействие Работодателя в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
• Работник имеет право на сохранение и защиту своей личной и семейной тайны, на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
• Во всех случаях отказ Работника от своих прав на сохранение и защиту конфиденциальности его персональных данных недействителен и юридически ничтожен.

1. СБОР И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Сбор персональных данных

– все персональные данные Работника Работодатель получает у него самого;

– если персональные данные Работника возможно получить только у третьей стороны, то Работник уведомляется об этом Работодателем заранее. Работодателем в этом случае должно быть получено письменное согласие Работника. Работодатель должен сообщить Работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и о последствиях отказа Работника дать письменное согласие на их получение;

– работник Больницы предоставляет работнику управления кадров достоверные сведения о себе. Информация, представляемая Работником при поступлении на работу в Больницу, должна иметь документальную форму. Работник управления кадров Больницы проверяет достоверность сведений, сверяя данные, предоставленные Работником, с имеющимися у Работника документами.

6.2. При заключении трудового договора в соответствии со ст.65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет Работодателю:

• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или Работник поступает на работу на условиях совместительства, либо трудовая книжка у Работника отсутствует в связи с ее утратой или по другим причинам;
• страховое свидетельство государственного пенсионного страхования;
• документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;
• документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
• свидетельство о присвоении ИНН (при его наличии у работника);
• справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям.

6.3. Документы, содержащие персональные данные Работника, создаются путём:

• создания комплекта документов, сопровождающих процесс оформления трудовых отношений Работника в Больнице при его приеме, переводе и увольнении методом внесения сведений в учётные формы (на бумажных и электронных носителях);
• копирования оригиналов документов (документ об образовании, свидетельство ИНН, пенсионное свидетельство);
• получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, автобиография).

6.4. При поступлении на работу в Больницу:

• Работником управления кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные Работника:

– общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные, сведения о месте жительства и контактных телефонах);

– сведения о воинском учете;

– данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

– сведения о переводах на другую работу;

– сведения об аттестации;

– сведения о повышении квалификации;

– сведения о профессиональной переподготовке;

– сведения о наградах (поощрениях), почетных званиях;

– сведения об отпусках;

– сведения о социальных гарантиях;

– сведения об изменении места жительства, контактных телефонов.

6.5. Личное дело Работника оформляется после издания приказа о приеме на работу.

Все документы личного дела подшиваются в обложку образца, установленного в Больнице. На ней указываются фамилия, имя отчество Работника, номер личного дела. К каждому личному делу прилагается фотография Работника размером 3х4.

Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитые в личное дело, нумеруются.

Личное дело ведется на протяжении всей трудовой деятельности Работника в Больнице. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

6.6. Хранение персональных данных

• Персональные данные Работников могут храниться, как на бумажных носителях, так и в электронном виде.
• В отделе кадров Больницы хранятся в специально отведенных системах хранения (шкафах, сейфах) согласно приказу, определяющему места хранения носителей персональных данных следующие группы документов, содержащие данные Работников в единичном или сводном виде:
• документы, содержащие персональные данные Работников (комплекты документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекты документов по тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Больницы, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие ведомства.
• документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции Работников, приказы, распоряжения, указания руководства Больницы); документы по планированию, учету, анализу и отчетности в части работы с персоналом Больницы.
• В том числе в специально отведенных системах хранения (шкафах, сейфах) согласно приказу, определяющему места хранения носителей персональных данных, хранятся:

Трудовые книжки, личные карточки Работников по форме Т-2;

Личные дела в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела находятся в отделе кадров.

• Личные файлы уволенных Работников хранятся в хранилище отдела кадров в алфавитном порядке.
• Ключи от шкафов, сейфов хранятся лично у Начальника отдела кадров.

6.7. Персональные данные Работников могут также храниться в электронном виде в информационных системах персональных данных Больницы, в электронных папках и файлах в ПК работников Больницы.

Доступ к ПК строго ограничен кругом лиц, определённых приказом Главного врача Больницы.

6.8. Хранение персональных данных в бухгалтерии:

• согласно приказу, определяющему места хранения носителей персональных данных, персональные данные, содержащиеся на бумажных носителях, хранятся в шкафах, сейфах согласно приказу, определяющему места хранения носителей персональных данных, установленных в служебных помещениях, занимаемых главным бухгалтером и иными работниками бухгалтерии.
• персональные данные, содержащиеся на электронных носителях информации, хранятся согласно приказу, определяющему места хранения носителей персональных данных.

6.10. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.

6.11. Персональные данные, содержащиеся на электронных носителях информации, уничтожаются по акту по истечению установленного срока хранения.

1. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. При передаче персональных данных Работника Работодатель должен соблюдать следующие требования:

Не сообщать персональные данные Работника третьей стороне без письменного согласия Работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья Работника, а также в случаях, установленных федеральным законом;

Предупредить лиц, получающих персональные данные Работника о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

Разрешать доступ к персональным данным Работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Работника, которые необходимы для выполнения конкретных функций;

Передавать персональные данные Работника представителям Работников в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», и ограничивать эту информацию только теми персональными данными Работника, которые необходимы для выполнения указанными представителями их функций.

7.2. Передача персональных данных Работника третьим лицам осуществляется только с письменного согласия Работника, которое оформляется по установленной форме (Приложение №1) и должно включать в себя:

Фамилию, имя, отчество, адрес Работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

Наименование и адрес Работодателя, получающего согласие Работника;

Цель передачи персональных данных;

Перечень персональных данных, на передачу которых дает согласие Работник;

Срок, в течение которого действует согласие, а также порядок его отзыва.

• Согласия Работника на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Работника; когда третьи лица оказывают услуги Работодателю на основании заключенных договоров, а также в случаях, установленных действующим законодательством и настоящим Положением.
• Работники Работодателя, передающие персональные данные Работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работников. Акт составляется по установленной форме (Приложение №3), и должен содержать следующие условия:

Уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;

Предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.

7.2. Передача документов (иных материальных носителей), содержащих персональные данные Работников, осуществляется при наличии у лица, уполномоченного на их получение:

Договора на оказание услуг Больнице;

Соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных Работника;

Письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные Работника, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.

Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных Работника Больницы несет начальник отдела кадров, а также работник, осуществляющий передачу персональных данных Работника третьим лицам.

7.3. Представителю Работника персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:

Нотариально удостоверенной доверенности представителя Работника;

Письменного заявления Работника, написанного в присутствии работника управления кадров Работодателя (если заявление написано Работником не в присутствии работника управления кадров, то оно должно быть нотариально заверено).

Доверенности и заявления хранятся в отделе кадров в личном деле Работника.

7.4. Предоставление персональных данных Работника государственным органам производится в соответствии с требованиями действующего законодательства.

7.5. Персональные данные Работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Работника, за исключением случаев, когда передача персональных данных Работника без его согласия допускается действующим законодательством Российской Федерации.

7.6. Сведения о работающем работнике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии письменного согласия Работника, удостоверенного нотариально.

7.7. Документы, содержащие персональные данные Работника, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

1. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКА

8.1. Право доступа к персональным данным Работника в Больнице имеют:

Главный врач;

Начальник и работники управления кадров;

Руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения);

При переводе из одного структурного подразделения в другое, доступ к персональным данным Работника может иметь руководитель нового подразделения;

Сам Работник – субъект персональных данных;

Другие работники Больницы при выполнении ими своих служебных обязанностей.

8.2. Перечень работников Больницы, имеющих доступ к персональным данным Работников, определяется приказом Главного врача Больницы.

1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

9.1. Больница обязана, при обработке персональных данных, принимать необходимые организационные и технические меры для защиты персональных данных Работников от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

9.2. Защите подлежит:

Информация о персональных данных Работника, содержащаяся на бумажных носителях;

Документы, содержащие персональные данные Работника;

Персональные данные, содержащиеся на электронных носителях.

9.3. Общую организацию защиты персональных данных Работников по указанию Главного врача осуществляет назначенный работник, ответственный за организацию обработки персональных данных, и начальник отдела кадров в соответствии с должностными инструкциями.

9.4. Начальник отдела кадров обеспечивает:

Ознакомление работника под роспись с настоящим Положением.

Истребование с работников письменного обязательства о соблюдении конфиденциальности персональных данных Работника и соблюдении правил их обработки.

Ознакомление работника под роспись с приказами и иными внутренними локальными нормативными актами, регулирующими обработку и защиту персональных данных в Больнице.

Общий контроль соблюдения Работниками мер по защите персональных данных.

9.5. Защита информационных систем Больницы, в которых обрабатываются персональные данные Работников, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Положением о мерах по организации защиты информационных систем персональных данных Больницы.

9.6. Доступ к персональным данным Работника имеют работники Работодателя, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.

В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Главного врача, доступ к персональным данным Работника может быть предоставлен иному работнику, должность которого не включена в Перечень должностей работников, имеющих доступ к персональным данным Работника Больницы, и которым они необходимы в связи с исполнением трудовых обязанностей.

9.6.1. Все работники, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных Работников (соглашение о неразглашении конфиденциальной информации).

Процедура оформления доступа к персональным данным Работника включает в себя:

Ознакомление Работника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Работника, с данными актами также производится ознакомление Работника под подпись.

Истребование с работника (за исключением Главного врача) письменного обязательства о соблюдении конфиденциальности персональных данных Работника и соблюдении правил их обработки, подготовленного по установленной форме.

9.6.2. Работник Работодателя, имеющий доступ к персональным данным Работников в связи с исполнением трудовых обязанностей:

Обеспечивает хранение информации, содержащей персональные данные Работника, исключающее доступ к ним третьих лиц.

В отсутствие работника на его рабочем месте не должно быть документов, содержащих персональные данные Работников.

При уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Работников лицу, на которое локальным актом Больницы (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Работников, передаются другому работнику, имеющему доступ к персональным данным Работников по указанию руководителя структурного подразделения.

9.6.3. При увольнении работника, имеющего доступ к персональным данным Работников, документы и иные носители, содержащие персональные данные Работников, передаются другому работнику, имеющему доступ к персональным данным Работников по указанию руководителя структурного подразделения или Главного врача.

9.6.4. Допуск к персональным данным Работника других работников Работодателя, не имеющих надлежащим образом оформленного доступа, запрещается.

9.7. Личные дела и документы, содержащие персональные данные Работников, хранятся в шкафах, сейфах, стеллажах и хранилищах, обеспечивающих защиту от несанкционированного доступа.

9.7.1. В Больнице не допускается выдача личных дел работников на рабочие места руководителей. Личные дела могут выдаваться только Главному врачу. В исключительных случаях, по письменному разрешению Главного врача, - руководителю структурного подразделения (например, при подготовке материалов для аттестации Работника).

9.7.2. В конце рабочего дня все личные дела, выданные работникам, имеющим право доступа к этим документам, сдаются в управление кадров.

9.8. Защита доступа к электронным носителям, содержащим персональные данные Работников, обеспечивается, том числе:

• использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным;
• разграничением прав доступа с использованием учетной записи;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
• контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.

9.9. Копировать и делать выписки персональных данных Работника разрешается исключительно в служебных целях с письменного разрешения начальника управления кадров.

9.10. Ответы на письменные запросы других организаций и учреждений о персональных данных Работников Больницы даются только с письменного согласия самого Работника, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Больницы, и в том объеме, который позволяет не разглашать излишний объем персональных сведений о Работниках Больницы.

9.11. Передача информации, содержащей сведения о персональных данных Работников Больницы, по телефону, факсимильной связи, электронной почте запрещается.

1. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

10.1. Главный врач, разрешающий доступ работника к документам, содержащим персональные данные Работника, несет персональную ответственность за данное разрешение.

10.2. Каждый работник Больницы, получающий для работы документ, содержащий персональные данные Работника, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

10.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

10.4. За неисполнение или ненадлежащее исполнение Работником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Работников Работодатель вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

10.4.1. К лицам, виновным в нарушении норм, регулирующих получение, обработку и защиту персональных данных Работника, могут быть применены следующие дисциплинарные взыскания:

а) замечание;

б) выговор;

в) увольнение.

10.4.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

10.4.3. Приказ о применении к Работнику дисциплинарного взыскания с указанием оснований его применения объявляется Работнику под роспись в течение трех рабочих дней со дня его издания, не считая времени отсутствия работника на работе.

10.4.4. Если в течение года со дня применения дисциплинарного взыскания Работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с Работника по собственной инициативе, по письменному заявлению Работника или по ходатайству его непосредственного руководителя.

10.5. Должностные лица, в обязанность которых входит ведение персональных данных работника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

10.6. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на Работников.

10.7. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

1. СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ И НОРМАТИВНЫХ АКТОВ

Разработка настоящего Положения осуществлена в соответствии со следующими нормативными документами:

Конституция Российской Федерации (часть 1 статьи 23, статья 24);

Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ;

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

постановление Правительства Российской Федерации от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

УТВЕРЖДАЮ ____________________________________ (наименование должности руководителя предприятия)

____________________________________ (Ф.И.О., подпись)

"____"___________________ _____ г.

ПОЛОЖЕНИЕ

об обработке и защите персональных данных работников

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников предприятия. Под работниками подразумеваются лица, заключившие трудовой договор с предприятием.

1.2. Цель настоящего Положения - защита персональных данных работников предприятия от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.

1.4. Настоящее Положение и изменения к нему утверждаются руководителем предприятия и вводятся приказом по предприятию. Все работники предприятия должны быть ознакомлены под роспись с данным Положением и изменениями к нему.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. Состав персональных данных работника:

Автобиография;

Образование;

Сведения о трудовом и общем стаже;

Сведения о предыдущем месте работы;

Сведения о составе семьи;

Паспортные данные;

Сведения о воинском учете;

Сведения о заработной плате сотрудника;

Сведения о социальных льготах;

Специальность;

Занимаемая должность;

Размер заработной платы;

Наличие судимостей;

Адрес места жительства;

Домашний телефон;

Подлинники и копии приказов по личному составу;

Личные дела и трудовые книжки сотрудников;

Основания к приказам по личному составу;

Копии отчетов, направляемые в органы статистики;

Копии документов об образовании;

Результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

Фотографии и иные сведения, относящиеся к персональным данным работника;

2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении ____ лет срока хранения, если иное не определено законом.

3. ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ

3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

3.1.8. Работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

4. ОБЯЗАННОСТИ РАБОТНИКА

Работник обязан:

4.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ.

4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.

5. ПРАВА РАБОТНИКА

Работник имеет право:

5.1. На полную информацию о своих персональных данных и обработке этих данных.

5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ.

5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.

5.4. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.5. Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

5.7. Определять своих представителей для защиты своих персональных данных.

6. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

6.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

6.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

6.5. При поступлении на работу работник заполняет анкету и автобиографию.

6.5.1. Анкета представляет собой перечень вопросов о персональных данных работника.

6.5.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.

6.5.3. Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.

6.5.4. Автобиография составляется в произвольной форме, без помарок и исправлений.

6.5.5. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.

6.5.6. Личное дело работника оформляется после издания приказа о приеме на работу.

6.5.7. Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилия, имя, отчество работника, номер личного дела.

6.5.8. К каждому личному делу прилагаются две цветные фотографии работника размером ______.

6.5.9. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.

6.5.10. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

Не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СОТРУДНИКА

8.1. Внутренний доступ (доступ внутри предприятия).

Право доступа к персональным данным сотрудника имеют:

Руководитель предприятия;

Руководитель отдела кадров;

Руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения) по согласованию с руководителем предприятия;

При переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения по согласованию с руководителем предприятия;

Сотрудники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;

Сам работник, носитель данных.

8.2. Внешний доступ.

Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:

Налоговые инспекции;

Правоохранительные органы;

Органы статистики;

Страховые агентства;

Военкоматы;

Органы социального страхования;

Пенсионные фонды;

Подразделения муниципальных органов управления.

8.3. Другие организации.

Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.

8.4. Родственники и члены семей.

Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятиях.

9.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.

9.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,

СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКА

10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Начальник отдела кадров: ______________

Положение о персональных данных работников - образец 2019 года вы найдете в этой статье - должно быть обязательно включено в структуру кадрового документооборота фирмы, имеющей наемных сотрудников. Каковы нюансы составления этого источника? Для чего нужно положение о работе с персональными данными работников? Рассмотрим ответы на эти и другие вопросы, а также приведем образец заполнения такого положения.

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Как составить согласие на обработку персональных данных, смотрите в .

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке .

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

• цели и задачи фирмы при работе с персональными данными;
• перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
• описание операций с данными, практикуемых компанией;
• способы доступа к данным, используемые в фирме;
• обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
• права сотрудников фирмы на приобретение санкционированного доступа к данным;
• правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

• устанавливающим общие положения документа;
• фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
• определяющим перечень ключевых операций с персональными данными;
• регламентирующим осуществление соответствующих операций;
• определяющим порядок доступа работников фирмы и иных лиц к данным;
• устанавливающим обязанности сотрудников, участвующих в операциях с данными;
• устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
• определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

I. Общие положения

1.1. Настоящее Положение обработке персональных данных работников (далее - Положение) Организации (название Организации) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка Организации.

1.2. Цель разработки Положения - определение порядка обработки персональных данных работников Организации; обеспечение защиты прав и свобод работников Организации при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников Организации, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Порядок ввода в действие и изменения Положения.

1.3.1. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Организации и действует бессрочно, до замены его новым Положением.

1.3.2. Все изменения в Положение вносятся приказом.

1.4. Все работники Организации должны быть ознакомлены с настоящим Положением под роспись.

1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Организации, если иное не определено законом.

II. Основные понятия и состав персональных данных работников

2.1. Для целей настоящего Положения используются следующие основные понятия :

– персональные данные работника - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

– обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников Организации;

– конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;

– распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;

– использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

– блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;

– уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;

– обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;

– общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

– информация - сведения (сообщения, данные) независимо от формы их представления .

– документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. В состав персональных данных работников Организации входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.

2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Организации при его приеме, переводе и увольнении.

2.3.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

– паспорт или иной документ, удостоверяющий личность;

– трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

– страховое свидетельство государственного пенсионного страхования;

– документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;

– документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

– свидетельство о присвоении ИНН (при его наличии у работника) .

2.3.2. При оформлении работника в Организацию работником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

– общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

– сведения о воинском учете;

– данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

– сведения о переводах на другую работу;

– сведения об аттестации;

– сведения о повышении квалификации;

– сведения о профессиональной переподготовке;

– сведения о наградах (поощрениях), почетных званиях;

– сведения об отпусках;

– сведения о социальных гарантиях;

– сведения о месте жительства и контактных телефонах.

2.3.3. В отделе кадров Организации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

2.3.3.1. Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Организации, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

2.3.3.2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Организации); документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.

III. Сбор, обработка и защита персональных данных

3.1. Порядок получения персональных данных.

3.1.1. Все персональные данные работника Организации следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение .

3.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника Организации о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия .

Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

– персональные данные являются общедоступными;

– персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

– по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом .

3.1.3. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.1.4. Письменное согласие работника на обработку своих персональных данных должно включать в себя:

– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

– цель обработки персональных данных;

– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

– срок, в течение которого действует согласие, а также порядок его отзыва.

Форма заявления о согласии работника на обработку персональных данных см. в приложении 1 к настоящему Положению.

3.1.5. Согласие работника не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

2) обработка персональных данных осуществляется в целях исполнения трудового договора;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.2. Порядок обработки, передачи и хранения персональных данных.

3.2.1. Работник Организации предоставляет работнику отдела кадров Организации достоверные сведения о себе. Работник отдела кадров Организации проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.2.2. В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина генеральный директор Организации (Работодатель) и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

3.2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества .

3.2.2.2. При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами .

3.2.2.3. При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения .

3.2.2.4. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом .

3.2.2.5. Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области .

3.2.2.6. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен .

IV. Передача и хранение персональных данных

4.1. При передаче персональных данных работника Работодатель должен соблюдать следующие требования :

4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

4.1.4. Осуществлять передачу персональных данных работников в пределах Организации в соответствии с настоящим Положением.

4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.

4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.1.7. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.

4.2. Хранение и использование персональных данных работников :

4.2.1. Персональные данные работников обрабатываются и хранятся в отделе кадров.

4.2.2. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе «1С: Зарплата и кадры».

4.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

– наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

– цель обработки персональных данных и ее правовое основание;

– предполагаемые пользователи персональных данных;

– установленные настоящим Федеральным законом права субъекта персональных данных.

V. Доступ к персональным данным работников

5.1. Право доступа к персональным данным работников имеют:

– генеральный директор Организации;

– сотрудники отдела кадров;

– сотрудники бухгалтерии;

– начальник отдела экономической безопасности (информация о фактическом месте проживания и контактные телефоны работников);

– сотрудники секретариата (информация о фактическом месте проживания и контактные телефоны работников);

– начальник отдела внутреннего контроля (доступ к персональным данным работников в ходе плановых проверок);

– руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).

5.2. Работник Организации имеет право:

5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника.

5.2.2. Требовать от Работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных.

5.2.3. Получать от Работодателя

– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

– перечень обрабатываемых персональных данных и источник их получения;

– сроки обработки персональных данных, в том числе сроки их хранения;

– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.3. Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных.

5.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.

5.4. Передача информации третьей стороне возможна только при письменном согласии работников.

VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

6.2. Генеральный директор Организации за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.

Приложение 1

Форма заявления
о согласии работника
на обработку персональных данных

Пример согласия работника
на получение персональных данных
от третьих лиц