Об утверждении «Положения о защите и обработке персональных данных в администрации Нижнеландеховского сельского поселения Пестяковского муниципального района Ивановской области»
Скачать (135.5 Кб)
Р О С С И Й С К А Я Ф Е Д Е Р А Ц И Я
П О С Т А Н О В Л Е Н И Е
администрации Нижнеландеховского сельского поселения
Пестяковского муниципального района Ивановской области
от 05.06.2017г. № 35
Об утверждении «Положения о защите и обработке персональных данных в администрации Нижнеландеховского сельского поселения Пестяковского муниципального района Ивановской области».
В соответствии с Конвенцией Совета Европы "О защите физических лиц в отношении автоматизированной обработки персональных данных", Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральными законами от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
ПОСТАНОВЛЯЮ:
1. Утвердить «Положение о защите и обработке персональных данных в администрации Нижнеландеховского сельского поселения Пестяковского муниципального района Ивановской области».
2. Контроль исполнения настоящего постановления оставляю за собой.
3. Разместить настоящее постановление на официальном сайте администрации Нижнеландеховского сельского поселения n-landeh@ya.ru в информационно-телекоммуникационной сети «Интернет».
4. Настоящее постановление вступает в силу после его обнародования.
Глава
Нижнеландеховского сельского поселения
Пестяковского муниципального района: Корышева Н.Н.
Приложение
к постановлению
администрации Нижнеландеховского
сельского поселения
от 05.06.2017 №35
ПОЛОЖЕНИЕ
о защите и обработке персональных данных в администрации Нижнеландеховского сельского поселения Пестяковского муниципального района Ивановской области.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение о защите и обработке персональных данных (далее – Положение) устанавливает правила работы с персональными данными работников организации.
Настоящее Положение разработано в соответствии с Конвенцией Совета Европы "О защите физических лиц в отношении автоматизированной обработки персональных данных", Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральными законами от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
1.2. Цель разработки настоящего Положения – определение порядка обработки персональных данных в администрации Нижнеландеховского сельского поселения, обеспечение защиты прав и свобод работников и иных лиц при работе с их персональными данными, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящее Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
1.3. Настоящее Положение вступает в силу с момента его утверждения главой Нижнеландеховского сельского поселения и действует бессрочно, до замены его новым Положением.
1.4. Все работники администрации должны быть ознакомлены с настоящим Положением под роспись.
2. ОСНОВНЫЕ ПОНЯТИЯ, СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Для целей настоящего Положения используются следующие термины и определения:
Субъект персональных данных – это физическое лицо, персональные данные которого обрабатываются администрацией Нижнеландеховского сельского поселения (работники, бывшие работники, претенденты на работу, клиенты, контрагенты и т.д.).
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные работника – любые сведения, прямо или косвенно относящиеся к работнику и необходимые организации в связи с трудовыми отношениями.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Информация – сведения (сообщения, данные) независимо от формы их предоставления.
Оператор – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
2.2. Персональные данные работника (претендента на работу) составляет:
2.2.1. Информация о работнике:
- фамилия, имя, отчество, возраст, дата рождения;
- паспортные данные;
- сведения об образовании, специальности, квалификации, трудовом стаже, предыдущем месте работы;
- сведения о повышении квалификации и профессиональной переподготовке, прохождении аттестации;
- занимаемая должность или выполняемая работа;
- сведения о воинском учете;
- сведения о заработной плате и иных доходах работника;
- сведения о социальных гарантиях и льготах и основаниях их предоставления;
- сведения о состоянии здоровья работника, о результатах медицинского обследования, психиатрического освидетельствования и т.п.;
- адрес места жительства, номер телефона;
- сведения о наличии судимости;
- сведения о дисциплинарных взысканиях и проступках;
- сведения о поощрениях работника;
- сведения об особом социальном статусе работника (инвалидность, донор, беременность, член профсоюза и др.);
- сведения об обязательном и дополнительном страховании работника и членов его семьи;
- содержание трудового договора, трудовой книжки, приказов, личной карточки, характеристик и иных кадровых документов, касающихся работника;
- др. сведения о работнике.
2.2.2. Информация о семейном положении работника и членах его семьи:
- о наличии детей;
- о наличии у работника иждивенцев;
- о необходимости ухода за больным членом семьи;
- об иных фактах, дающих основание для предоставления работникам гарантий и компенсаций, предусмотренных законодательством.
2.3. Персональные данные клиентов, контрагентов и др. лиц составляют:
- фамилия, имя, отчество;
- возраст, дата рождения;
- паспортные данные;
- адрес места жительства, номер телефона;
- др. сведения о физических лицах, полученные организацией при осуществлении своей деятельности.
2.4. Категории персональных данных.
2.4.1. В процессе осуществления деятельности организации возможна обработка любых категорий персональных данных, за исключением специальных категорий.
2.4.2. Специальные категории персональных данных составляют сведения:
- о состоянии здоровья;
- о политических взглядах;
- о религиозных или философских убеждениях;
- о судимости.
2.4.3. Все персональные данные, за исключением данных специальной категории относятся к обычным категориям персональных данных.
2.4.4. Обработка специальных категорий персональных данных допускается:
- при обработке информации о состоянии здоровья в случаях, предусмотренных нормативными правовыми актами;
- при обработке информации о членстве в профсоюзной организации в целях применения норм ст. ст. 82, 373-376 Трудового кодекса РФ и т.п.;
- при обработке информации о частной жизни в предусмотренных законодательством случаях и порядке.
2.4.5. Обработка специальных категорий персональных данных допускается только с письменного согласия их субъекта.
2.5. Общедоступные и конфиденциальные персональные данные.
2.5.1. Все персональные данные являются конфиденциальными, за исключением общедоступных персональных данных.
2.5.2. Общедоступными персональными данными являются сведения, к которым обеспечен свободный доступ с согласия субъекта таких персональных данных или в силу прямого указания закона.
2.5.3. Личная и семейная тайны субъекта персональных данных:
- персональные данные о частной (интимной) жизни субъекта, состоянии здоровья, диагнозе заболевания составляют личную тайну субъекта.
- персональные данные об усыновлении (удочерении), о диагнозе заболевания и состоянии здоровья членов семьи субъекта, их частной (интимной) жизни составляют семейную тайну.
2.5.4. В целях обеспечения взаимодействия структурных подразделений и отдельных работников формируется телефонный справочник организации, в который включаются фамилия, имя, отчество, должность (профессия) работника, номер рабочего телефона. Включение указанных персональных данных (кроме должности (профессии) и номера рабочего телефона) в справочник осуществляется с письменного согласия работника в соответствии с п. 2.5.2. настоящего Положения.
2.6. Биометрические и не биометрические персональные данные.
2.6.1. При осуществлении своей деятельности организация может осуществлять обработку биометрических персональных данных в порядке, предусмотренном нормативными правовыми актами и настоящим Положением.
2.6.2. Биометрическими персональными данными являются сведения, характеризующие физиологические особенности человека, позволяющие установить его личность, а именно:
- отпечатки пальцев, ладони;
- радужка сетчатки глаз;
- анализ ДНК;
- особенности строения тела, его отдельных частей, внутренних органов;
- почерк и т.д.
2.6.3. В случае необходимости обработка биометрических данных может осуществляться только с письменного согласия их субъекта.
2.6.4. При необходимости обработки биометрических персональных данных вне информационных систем в организации обеспечивается соблюдение требований, предусмотренных постановлением Правительства Российской Федерации от 06.07.2008 № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Принципы обработки и защиты персональных данных в организации.
3.1.1. Сбор и обработка персональных данных осуществляются в порядке и в целях, предусмотренных законодательством и настоящим Положением.
3.1.2. Персональные данные не могут быть использованы для осуществления контроля за поведением их субъекта, в целях дискриминации, причинения морального и (или) материального ущерба, затруднения в реализации прав и свобод.
3.1.3. При принятии решений, затрагивающих интересы субъекта, не допускается основываться на данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.4. Обеспечение конфиденциальности персональных данных.
3.1.5. Субъект персональных данных не может отказываться от своих прав на защиту личной и семейной тайны.
3.1.6. Защита персональных данных осуществляется организацией за счет ее собственных средств.
3.1.7. Недопустимость злоупотребления правом при обработке и предоставлении персональных данных.
3.2. Защита персональных данных в организации осуществляется в целях:
3.2.1. Предотвращения утечки, хищения, утраты, искажения, подделки и иных неправомерных действий с информацией, составляющей персональные данные;
3.2.2. Предотвращения угроз безопасности личности работника, членов его семьи, а также общества и государства в целом.
3.2.3. Защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах и сохранения тайны.
3.2.4. Обеспечение прав работников в области персональных данных.
3.2.5. Обеспечения сохранности имущества организации и работников.
3.3. Методы и способы защиты персональных данных в информационных системах персональных данных осуществляются в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
К таким мерам относятся:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
3.4. Организация принимает следующие меры по защите персональных данных:
- разработка норм о защите персональных данных;
- определение и закрепление перечня информации, составляющей персональные данные;
- ограничение доступа к информации, составляющей персональные данные, посредством установления порядка обращения с этой информацией и контроля за его соблюдением;
- ведение учета лиц, получивших доступ к информации, составляющей персональные данные, и (или) лиц, которым такая информация была предоставлена или передана;
- заключение с лицами, получившими доступ к персональным данным, трудовых и гражданско-правовых договоров, соглашений о сохранении конфиденциальности;
- нанесение грифов конфиденциальности на материальные носители (документы), содержащие информацию, составляющую персональные данные;
- обучение и проверка знаний норм и требований в области защиты персональных данных;
- организация и ведение конфиденциального делопроизводства;
- применение средств и методов технической защиты конфиденциальности информации (устанавливает замки, решетки, различные механические, электромеханические и электронные устройства охраны).
3.5. Лица, обязанные обеспечивать конфиденциальность персональных данных.
3.5.1. Лица, имеющие доступ к персональным данным, и лица, ответственные за их обработку должны принимать меры, препятствующие ознакомлению с персональными данными лиц, не имеющих доступа к персональным данным.
3.5.2. К лицам, обязанным обеспечить конфиденциальность персональных данных, относятся: руководитель организации, руководители структурных подразделений, секретари, работники кадровой службы, бухгалтерии и других структурных подразделений, осуществляющих получение, обработку, хранение, использование и передачу персональных данных.
Конкретный перечень лиц, получающих доступ к персональным данным и осуществляющим их обработку, утверждается распоряжением главы поселения и хранится в отделе кадров. В приказе определяются основания и цели получения и обработки персональных данных, сроки использования, условия и другие требования. Доступ к персональным данным осуществляется только после прохождения процедуры допуска, определенной в п. 3.5.3. настоящего Положения.
Руководители структурных подразделений вправе получать и обрабатывать персональные данные, касающиеся работников структурного подразделения по вопросам выполнения их трудовой функции.
3.5.3. Допуск к конфиденциальным персональным данным включает в себя:
3.5.3.1. Ознакомление работника с законодательством о защите персональных данных, в том числе личной, семейной и иной тайны, об ответственности за его нарушение и локальными нормативными актами организации в области защиты персональных данных;
3.5.3.2. Принятие работником обязанности по соблюдению конфиденциальности персональных данных, к которым получает доступ;
3.5.3.3. Принятие работником обязанностей по неразглашению сведений конфиденциального характера после прекращения трудовых отношений на период действия режима конфиденциальности данных сведений;
3.5.3.4. Соблюдение работником требований по защите конфиденциальной информации;
3.5.4. С лицами, получающими доступ к персональным данным и осуществляющими обработку персональных данных, заключаются трудовые договоры и (или) дополнительные соглашения к трудовым договорам с условием об обеспечении конфиденциальности персональных данных.
Если выполнение работы связано с доступом к конфиденциальной информации, а лицо отказывается от принятия на себя обязанностей по сохранению конфиденциальности сведений, трудовой договор не заключается.
Лица, трудовые обязанности которых не связаны с обработкой персональных данных, могут быть допущены к персональным данным только с их письменного согласия.
В случае случайного получения персональных данных неуполномоченным лицом, с ним заключается соглашение об обеспечении конфиденциальности полученных персональных данных. Умышленное получение персональных данных неуполномоченными лицами является основанием для привлечения к ответственности, предусмотренной законодательством.
Своевременное и правомерное заключение договоров и соглашений об обеспечении конфиденциальности персональных данных обеспечивается работниками отдела кадров.
3.6. Грифы конфиденциальности.
3.6.1. На материальные носители персональных данных наносятся грифы конфиденциальности: "Конфиденциально" и "Особо конфиденциально".
3.6.2. Гриф "Особо конфиденциально" имеют специальные категории персональных данных и персональные данные, составляющие какую-либо охраняемую законом тайну (личную, семейную и иную).
3.6.3. Гриф "Конфиденциально" на все остальные конфиденциальные персональные данные.
3.7. Проведение обучения и проверки знаний норм и требований в области защиты персональных данных.
3.7.1. Обучение и проверка знаний в области защиты персональных данных осуществляется не реже одного раза в год.
3.7.2. Внеочередное обучение и проверка знаний проводится при изменении законодательства в области защиты персональных знаний и внесении изменений и дополнений в локальные нормативные акты организации по вопросам защиты и обработки персональных данных.
3.7.3. Обучение и проверка знаний работниками норм и требований по защите персональных данных проводится при непосредственном участии представительного органа работников (при его наличии).
3.7.4. Отказ работника от прохождения обучения и проверки знаний в области защиты персональных данных является основанием для применения дисциплинарного взыскания.
3.8. Организация и ведение конфиденциального делопроизводства.
3.8.1. Все документы, содержащие конфиденциальные персональные данные, должны сохраняться в режиме конфиденциальности и быть доступными только тем лицам, которые имеют допуск к таким сведениям в силу исполнения ими своих трудовых обязанностей. Организация конфиденциального делопроизводства должна исключать ознакомление с конфиденциальной информацией иных лиц, не имеющих такого доступа.
3.8.2. На конфиденциальных документах:
- ставится гриф "Конфиденциально" и "Строго конфиденциально" в правом верхнем углу первого листа с указанием номера экземпляра;
- указывается количество экземпляров (на документе, подшиваемом в дело) и место нахождения каждого из них, подпись и отметка об исполнении;
- указываются должностные лица, уполномоченные использовать данный документ, подпись и дата директора (на обороте листа документа).
3.8.3. Приказом назначается лицо, ответственное за учет, хранение и использование конфиденциальных персональных данных. Подписанные документы передаются для регистрации должностному лицу, ответственному за их учет.
3.8.4. Движение документов с грифом "Конфиденциально" и "Строго конфиденциально" должно отражаться в журнале учета движения конфиденциальных документов.
При выдаче документов, содержащих конфиденциальные персональные данные, лицо вправе использовать их в течение срока, необходимого для выполнения работы, по истечении которого они возвращаются. Передача документов производится с обязательной записью в журнале учета движения.
3.8.5. При работе с документами, содержащими конфиденциальные сведения, запрещается:
- делать выписки без соответствующего разрешения директора;
- знакомить конфиденциальными документами неуполномоченных лиц;
- использовать информацию из таких документов в открытых сообщениях, докладах, переписке, рекламных изданиях;
- предоставлять свой компьютер для работы другим работникам;
- оставлять без присмотра на рабочем месте конфиденциальные документы, включенный компьютер.
3.8.6. При увольнении сотрудника, ответственного за конфиденциальные документы, осуществляется их передача при составлении акта приема-сдачи.
3.9. Организация публикует или иным образом обеспечивает неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Цели обработки персональных данных в организации.
4.1.1. Целями обработки персональных данных работников организации являются:
- содействие работникам в трудоустройстве, обучении и продвижении по службе;
- обеспечение личной безопасности работников;
- контроль количества и качества выполняемой работы;
- обеспечение сохранности имущества;
- оформление трудовых отношений, переводов на другую работу и прекращения трудовых отношений;
- оплата труда;
- предоставление условий труда, гарантий и льгот, предусмотренных нормативными правовыми актами, коллективным договором (при его наличии), соглашениями, локальными нормативными актами, трудовыми договорами;
- обеспечение безопасных условий труда;
- формирование графика отпусков, предоставление дополнительных дней отдыха и т.п.
4.1.2. Целями обработки персональных данных клиентов, контрагентов являются:
- осуществление организации своей деятельности;
- оказание услуг клиентам;
- выполнение условий договоров с контрагентами.
4.2. Требования к обработке персональных данных.
4.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
4.2.2. Письменное согласие работника на обработку персональных данных включает в себя:
- наименование и юридический адрес работодателя;
- фамилию, имя, отчество, адрес субъекта (работника), документы, удостоверяющие личность (номер, сведения о дате выдачи документа и выдавшем его органе);
- цель и способ обработки персональных данных;
- перечень данных, на обработку которых дается согласие;
- перечень действий, на совершение которых дается согласие;
- срок, в течение которого действует согласие, порядок его отзыва.
В отношении несовершеннолетних работников согласие на обработку персональных данных дают родители, опекуны или попечители.
4.2.3. Обработка персональных данных без согласия их субъекта может осуществляться в следующих случаях:
- в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- если доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных либо по его просьбе (общедоступные персональные данные);
- если персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- в др. случаях, предусмотренных законодательством.
4.2.4. Обработка персональных данных клиентов, контрагентов и работников в целях продвижения товаров, работ и услуг организации на рынке посредством прямых контактов с потенциальными потребителями с помощью средств связи допускается только при наличии предварительного согласия субъекта персональных данных, оформленного в письменной форме. По требованию субъекта персональных данных обработка его персональных данных в указанных целях прекращается с момента получения соответствующего требования.
4.2.5. Обработка персональных данных не должна приводить к дискриминации при заключении трудового договора, переводах на другую работу или при прекращении трудовых отношений.
4.3. Получение персональных данных.
4.3.1. Организация при осуществлении своей деятельности вправе получать персональные данные в порядке, предусмотренном законодательством и настоящим Положением:
4.3.1.1. Объем и содержание получаемых сведений должен соответствовать Конституции РФ и федеральным законам.
4.3.1.2. Персональные данные могут быть получены только у самого субъекта персональных данных.
4.3.1.3. Получить персональные данные у третьего лица можно только с письменного согласия субъекта, если невозможно получить информацию у него самого в порядке, предусмотренном п. 4.3.2. настоящего Положения.
4.3.1.4. Не допускается принятие решений, затрагивающих интересы субъекта, на основе данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.3.2. Для получения персональных данных от третьих лиц необходимо уведомить субъекта в письменной форме о получении сведений у третьей стороны, с указанием целей получения и их правовых оснований, предполагаемых источниках и способах получения персональных данных, о характере подлежащих получению сведений, о правах субъекта и последствиях отказа дать письменное согласие на получение сведений.
4.3.3. Получение персональных данных работников.
4.3.3.1. При трудоустройстве в организацию от субъекта могут быть затребованы только те документы и сведения, которые предусмотренные законом и необходимы в связи с выполнением работы.
При заключении трудового договора субъект должен предоставить: паспорт, трудовую книжку, страховое свидетельство обязательного пенсионного страхования, документы воинского учета (для военнообязанных).
Если работа требует наличия определенного уровня и вида образования обязательным является предоставление документа об образовании. При поступлении на работу первые трудовая книжка и страховое свидетельство обязательного пенсионного страхования оформляются организацией.
При заключении трудового договора формируется личное дело работника, в которое подшиваются копии предоставленных документов. В личную карточку вносятся сведения, предоставленные работником.
4.3.3.2. Обработка сведений о работнике (беременность, инвалидность, временная нетрудоспособность, обучение в учебных заведениях начального, среднего и высшего профессионального образования, членства в профсоюзной организации и др.) и членах его семьи (наличие несовершеннолетних детей, больных членов семьи, которые нуждаются в уходе и др.) допускается исключительно для предоставления работнику предоставления гарантий, компенсаций и др. льгот, предусмотренных трудовым законодательством, коллективным договором, соглашением, локальным нормативным актом или трудовым договором.
Предусмотренные законодательством гарантии и компенсации предоставляются после получения организацией соответствующей информации.
4.3.3.3. Получение сведений о состоянии здоровья работника допускается только в связи с осуществлением работником его трудовой функции и в целях защиты жизни и здоровья работников организация и предоставления гарантий, компенсаций и др. льгот, предусмотренных трудовым законодательством, коллективным договором, соглашением, локальным нормативным актом или трудовым договором, а именно:
1) при прохождении обязательных предварительных, периодических очередных и внеочередных медицинских осмотров и психиатрических освидетельствований в случаях, предусмотренных ст. 69, 213 Трудового кодекса РФ и иными нормативными правовыми актами;
2) о периодах временной нетрудоспособности работника;
3) об ухудшении состояния здоровья, получении травмы, увечья при несчастном случае на производстве или профессиональном заболевании;
4) об ухудшении состояния здоровья работника или членов его семьи, влекущем за собой необходимость перевода, изменения рабочего времени, прекращения трудового договора;
5) об инвалидности работника и (или) членов его семьи;
6) о беременности женщины.
4.3.3.4. По письменному заявлению работника не позднее трех рабочих дней со дня подачи заявления ему должны быть предоставлены надлежащим образом заверенные копии документов, связанных работой.
4.3.3.5. При выдаче заработной платы работнику в кассе организации не допускается ознакомление работника с информацией о размере выплат, причитающихся другим работникам.
4.3.3.6. Работник службы безопасности и охраны, осуществляющий дежурство на служебном входе вправе предоставить номера домашних и мобильных телефонов работников организации директору, его заместителям и руководителям структурных подразделений в случаях аварии, катастрофы, несчастного случая и др. экстренных ситуациях.
4.4. Хранение персональных данных осуществляется в порядке, исключающем их утрату или неправомерное использование.
4.4.1. Все персональные данные хранятся в недоступном для неуполномоченных лиц месте (в специальных выделенных для хранения документов помещениях, в сейфах или иных закрывающихся на замок шкафах).
4.4.2. В организации обеспечивается хранение первичной учетной документации по учету труда и его оплаты, документов по учету использования рабочего времени, а также иных документов, составляющих персональные данные работников. Документы, содержащие персональные данные, передаются в архив в сроки, предусмотренные законом, и в соответствии процедурой, установленной нормативными актами.
4.4.3. При достижении целей обработки персональные данные подлежат уничтожению, за исключением следующих случаев:
- персональные данные подлежат сохранению в силу требований нормативных правовых актов;
- претендент на работу желает оставаться в списке соискателей в течение определенного соглашением периода времени.
4.4.4. Ведение и хранение трудовых книжек в организации осуществляется в соответствии с Трудовым кодексом РФ и постановлением Правительства Российской Федерации от 16.04.2003 № 225 "О трудовых книжках".
4.5. Использование персональных данных – это действия, операции с персональными данными, совершаемые в целях принятия решений и совершения иных действий, порождающих юридические последствия для их субъекта и иных лиц.
Не допускается использование персональных данных в целях причинения материального ущерба и морального вреда их субъекту, ущемления его прав и законных интересов.
4.6. Передача персональных данных может осуществляться как в организации, так и другим лицам, в порядке, установленном законодательством и настоящим Положением.
4.6.1. При передаче персональных данных третьим лицам организация должна соблюдать следующие требования:
4.6.1.1. Персональные данные предоставляются только с письменного согласия субъекта, в том числе в коммерческих целях, за исключением случаев, предусмотренных законодательством и настоящим Положением;
4.6.1.2. Получение персональных данных без письменного согласия субъекта персональных данных возможно в случаях, когда предоставление персональных данных необходимо в целях предупреждения угрозы жизни и здоровью (в частности, при несчастном случае на производстве) и в иных случаях, установленных федеральными законами;
4.6.1.3. Предупреждение лиц, получивших доступ к персональным данным о возможности использования сведений только в определенных организацией целях;
4.6.1.4. Соблюдение режима конфиденциальности получателями персональных данных.
4.6.2. В организации персональные данные могут быть предоставлены только специально уполномоченным лицам в соответствии с перечнем, утвержденным в порядке, определенном п. 3.6.2. настоящего Положения и только в том объеме, который необходим им для выполнения конкретных функций.
4.6.3. Предоставление персональных данных работников членам выборного органа первичной профсоюзной организации осуществляются в порядке и в случаях, предусмотренных Трудовым кодексом РФ, в частности при прекращении трудового договора с работниками, являющимися членами профессионального союза в соответствии со ст. 373, 374, 376 Трудового кодекса РФ.
В иных случаях персональные данные работника, включая информацию о заработной плате, предоставляются только с его письменного согласия, оформляемого в соответствии с п. 4.2.2. настоящего Положения.
4.6.4. Без письменного согласия работника его персональные данные предоставляются:
- в Пенсионный фонд Российской Федерации;
- в Фонд социального страхования Российской Федерации;
- в военные комиссариаты;
- в др. органы и учреждения в случаях, предусмотренных законодательством.
Объем и содержание персональных данных, предоставляемых указанным органам и учреждениям, осуществляется в установленном законодательством порядке.
4.7. Автоматизированная обработка персональных данных в организации.
4.7.1. При автоматизированной обработке персональных данных не допускается принятие решения, основанного исключительно на автоматизированной обработке, если такое решение может привести к определенным правовым последствиям, а также иным образом затрагивает права и законные интересы их субъекта.
4.7.2. Принятие решения исключительно на основании автоматизированной обработки персональных данных допускается только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
4.7.3. Субъект персональных данных может заявить возражение против принятия решения исключительно на основании автоматизированной обработки его персональных данных. Организация в течение семи рабочих дней обязан рассмотреть представленное возражение и сообщить субъекту о результатах его рассмотрения.
4.8. Неавтоматизированная обработка персональных данных в организации.
4.8.1. При осуществлении неавтоматизированной обработки персональные данные должны фиксироваться на отдельных материальных носителях. Различные категории персональных данных также фиксируются на различных материальных носителях.
4.8.2. Лица, осуществляющие неавтоматизированную обработку персональных данных, должны быть предварительно уведомлены об особенностях такой обработки. Ответственность за своевременное уведомление возлагается на руководителей соответствующих структурных подразделений.
4.8.3. В организации неавтоматизированная обработка осуществляется при использовании, уточнении (обновлении, изменении), распространении персональных данных, содержащихся в личной карточке, трудовой книжке и др. документах и материальных носителях.
5. ПРАВА И ОБЯЗАННОСТИ В ОБЛАСТИ ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъект персональных данных имеет право:
5.1.1. На полную информацию о своих персональных данных и их обработке;
5.1.2. На доступ к своим персональным данным;
5.1.3. На предоставление сведений о наличии персональных данных в организации в доступной для субъекта форме;
5.1.4. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные настоящим федеральными законами
5.1.2. Работники имеют право:
5.1.2.1. На доступ к своим персональным данным, в том числе на доступ к своим медицинским данным, имеющимся в организации с участием медицинского специалиста по выбору работника;
5.1.2.2. На получение информации:
- о своих персональных данных и способе их обработки;
- об автоматизированной обработке персональных данных (о существовании автоматизированного файла данных, целях такой обработки);
5.1.2.3. На получение копий документов в соответствии с подпунктом 4 п. 4.3.3. настоящего Положения;
5.1.2.4. На определение своего представителя для оказания содействия в осуществлении прав субъекта персональных данных;
5.1.2.5. Требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, в том числе путем:
- внесения изменений, уточнений и дополнений сведений;
- устранения и (или) прекращения обработки устаревших, недостоверных и незаконно полученных сведений;
- извещения организацией всех лиц, которым были сообщены неверные, неполные или устаревшие данные, а также сообщения обо всех внесенных изменениях, дополнениях и уточнениях;
- внесения изменений и дополнений в трудовую книжку;
- предоставления сведений в доступной для работника форме;
- дополнения сведений оценочного характера заявлением, выражающим свою точку зрения.
5.1.2.6. На защиту от неправомерных действий (бездействий) в отношении своих персональных данных посредством:
- определения представителя для их защиты,
- обращения в суд;
5.1.2.7. На ознакомление под роспись с настоящим Положением и иными локальными нормативными актами, имеющими отношение к его трудовой функции.
Работнику не могут быть предоставлены сведения, которые могут нарушить нарушают конституционные права и свободы других лиц, а также в иных случаях, предусмотренных законодательством.
5.2. Работник обязан:
- своевременно сообщать своему непосредственному руководителю, руководителю структурного подразделения и (или) в отдел кадров информацию о невозможности своевременно и исполнить свои трудовые обязанности, невозможности выйти на работу в связи с временной нетрудоспособностью, с обучением в образовательном учреждении, исполнением государственных и (или) общественных обязанностей, с донорством крови и ее компонентов и др. обстоятельствами, препятствующими исполнению трудовых обязанностей;
- сообщать в отдел кадров о происшедших изменениях в анкетных данных не позднее двух недель с момента их изменения;
- незамедлительно сообщить непосредственному руководителю о возникновении ситуации, представляющей угрозу жизни и здоровью людей, сохранности имущества;
- проходить обучение и проверку знаний в области защиты персональных данных;
- соблюдать настоящее Положение;
- сохранять конфиденциальность полученных персональных данных, в том числе после прекращения трудовых отношений с организацией;
- при прекращении трудового договора передать уполномоченному лицу все материальные носители персональных данных.
5.3. Права и обязанности организации в области защиты персональных данных.
5.3.1. Организация имеет право:
- на получение достоверных персональных данных от субъекта персональных данных в случаях и порядке, установленных законодательством и настоящим Положением;
- на привлечение к дисциплинарной и материальной и иной ответственности лиц, нарушивших правила обработки и получения персональных данных в соответствии с законодательством и настоящим Положением.
5.3.2. Организация обязана:
- принимать меры по защите персональных данных в объеме и порядке, предусмотренных законодательством и настоящим Положением;
- получать и обрабатывать персональные данные в установленном законом и настоящим Положении порядке;
- не запрашивать информацию о состоянии здоровья работника, за исключением сведений, указанных в подп. 3 п. 4.3.3. настоящего Положения;
- обеспечить обучение и проверку знаний работником норм и требований в области защиты персональных данных;
- ознакомить всех работников под роспись с настоящим Положением и любыми вносимыми в него изменениями.
5.3.3. Организация не вправе распространять сведения о наложении дисциплинарного взыскания без письменного согласия работника. Данные сведения могут быть преданы огласке без письменного согласия только при обезличивании субъекта персональных данных.
5.4. Преимущества и льготы лицам, имеющим доступ к персональным данным.
5.4.1. Лица, имеющие доступ к персональным данным и осуществляющие их обработку, имеют право:
- на преимущественное оставление на работе при сокращении численности или штата работников организации;
- на выплату им надбавки к заработной плате за работу с конфиденциальными сведениями.
5.4.2. За работу с конфиденциальными персональными данными устанавливается ежемесячная надбавка к окладу в следующем размере:
- за работу со сведениями с грифом "Особо конфиденциально" - 30 %.
5.5. Права и обязанности представительного органа работников в области защиты и обработки персональных данных работников.
5.5.1. Представительный орган работников имеет право на получение информации и участие в консультациях по вопросам:
1) внедрения или изменения систем автоматизированной обработки персональных данных;
2) внедрения систем видеонаблюдения на рабочих местах;
3) обучения и проверки знаний работниками норм и требований в области защиты персональных данных.
5.5.2. Представительный орган работников обязан соблюдать конфиденциальность персональных данных работников, поученных при осуществлении своих полномочий.
5.5.3. Представительный орган работников не вправе осуществлять передачу персональных данных работников третьим лицам без предварительного согласия работника.
6. ОТВЕТСТВЕННОСТЬ
6.1. Нарушение настоящего Положения влечет за собой применение юридической ответственности в соответствии с федеральными законами.
6.2. Работник, нарушивший настоящее Положение, может быть привлечен к материальной и дисциплинарной ответственности, включая увольнение по соответствующему основанию.
6.3. Нарушение порядка сбора, хранения, использования и распространения персональных данных может повлечь применение административной ответственности к лицу, совершившему данное нарушение (ст. 13.11, 13.14 Кодекса Российской Федерации об административных правонарушениях).
6.4. Лица, нарушившие неприкосновенность частной жизни, личную и семейную, тайну усыновления могут быть привлечены к уголовной ответственности (ст. 137, 155, 183 Уголовного кодекса Российской Федерации).
6.5. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законодательством и настоящим Положением, а также требований к защите персональных данных, установленных в соответствии с законодательством и настоящим Положением, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Ознакомлены: