Сбор, обработка и хранение персональных данных
Положение по защите персональных данных
ПОЛОЖЕНИЕ УТВЕРЖДАЮ
Генеральный директор
«___»_____________200___г №_______ _________________________
(подпись)
Москва __________________________
По защите персональных данных (расшифровка подписи)
«__»_________200___г.
М. П.
Мнение представительного органа учтено
Протокол от «__»_____ 200_ г. №___
Общие положения
Название организации — далее «Организация», являясь Работодателем (оператором), осуществляет работу с персональными данными работников Организации (субъекта персональных данных), руководствуясь соответствующими нормами Конституции РФ (Российской Федерации), Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также общепризнанными принципами и нормами международного права и международных договоров РФ, которые в соответствии с частью четвертой ст. 15 Конституции РФ являются составной частью российской правовой системы.
Так, в соответствии с частью первой ст. 23 Конституции РФ каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
1.1. Цель разработанного регламента
1.1.1. Целью является защита персональных данных от несанкционированного доступа третьих лиц и организация приема, хранения, обработки и передачи персональных данных работников в соответствии с установленными законодательными требованиями.
1.2. Режим конфиденциальности.
1.2.1. Сбор, хранение, использование и распространение информации о частной жизни Работника без его письменного согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации.
1.2.2. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законодательством РФ.
1.3. Порядок утверждения данных правил, ввода их в действие и внесения изменений.
Утверждаются генеральным директором Организации.
Вводятся в действие приказом по Организации.
Понятие и состав персональных данных
2.1. Понятие персональных данных
Персональные данные Работника — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), необходимая Работодателю в связи с трудовыми отношениями или полученная им на основании письменного согласия Работника. Это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Если по совокупности сведений определить их принадлежность к конкретному субъекту невозможно, то данные сведения не относятся к персональным данным.
Обработка персональных данных Работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Сбор, обработка и хранение персональных данных
3.1. Порядок получения персональных данных
3.1.1. Все персональные данные Работника следует получить у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить Работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Работника дать письменное согласие на их получение (ст. 86 ТК РФ п. 3).
3.1.2. …..
3.2. Состав работников, допущенных к обработке, передаче и хранению персональной информации
3.2.1. Полный доступ: к обработке персональных данных Работника исходя из функционала данных должностных лиц имеют полный доступ следующие работники:
· генеральный директор;
· главный бухгалтер;
· начальник юридического отдела;
· руководитель кадровой службой;
· системные администраторы
· и др. при необходимости.
3.2.2. Ограниченный доступ: к обработке персональных данных Работника исходя из функционала данных должностных лиц имеют ограниченный доступ следующие работники:
| Наименование должности | Персональные данные и перечень документов, к которым может быть допущен. А также цели, для которых данное должностное лицо имеет право обрабатывать данные сведения |
| Секретарь | - паспортные данные Работника (сведения о номере паспорта, дате, месте его выдачи) — для заказа билетов при отправлении работника в командировку и бронировании гостиницы; - адрес места жительства — для отправки корреспонденции; - и т. д., указать подробно исходя из специфики своей организации и особенностей распределения функций |
| Бухгалтер по расчету заработной платы | - сведения об иждивенцах — для произведения необходимых вычетов из заработной платы, установленных законодательно; - ИНН, номер страхового свидетельства государственного пенсионного страхования, адрес места прописки — для оформления бухгалтерской, налоговой, статистической отчетности; - и т. д., указать подробно исходя из специфики своей организации и особенностей распределения функций |
| Руководитель структурного подразделения, в котором работает работник | - сведения о семейном положении, возрасте детей — для предоставления работнику гарантий, установленных законодательно, в частности для решения вопроса о возможности привлечения к работе сверхурочно, к работе в выходные и праздники, для привлечения к работе ночью, отправления в командировки; - сведения о профессии, квалификации Работника, о его опыте работы и имеющимся профессиональным навыкам — для принятия решений о переводах, возложении дополнительных обязанностей; - медицинские ограничения (группа инвалидности, условия, прописанные в карте реабилитации) — для соблюдения установленных для Работника условий работы, решения вопроса о возможных переводах; - и т. д., указать подробно исходя из специфики своей организации и особенностей распределения функций |
| Продолжить список |
3.3. Порядок обработки, передачи и хранения персональной информации
3.3.1. В соответствии со ст.86 ТК РФ в целях обеспечения прав и свобод человека и гражданина Работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:
· обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении на службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
· ….
В целях обеспечения защиты персональных данных, хранящихся у Работодателя, работники имеют право на:
· полную информацию об их персональных данных и обработке этих данных;
· свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Работника, за исключением случаев, предусмотренных федеральным законом;
· определение своих представителей для защиты своих персональных данных;
· доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
· требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе Работодателя исключить или исправить персональные данные Работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера Работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
· требование об извещении Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные Работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
· обжалование в суде любых неправомерных действий или бездействия Работодателя при обработке и защите его персональных данных.
3.4. Ответственность за разглашение
3.4.1. Все лица, непосредственно имеющие отношение к персональной базе данных, должны подписывать обязательство о неразглашении персональной информации работников.
3.4.2. Персональная ответственность — одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
3.4.3. Руководитель, разрешающий доступ Работника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
3.4.4. Каждый Работник Организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
3.4.5. Ответственность лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Работника, согласно действующему законодательству может быть дисциплинарной, административной, гражданско-правовой или уголовной в соответствии с федеральными законами.
3.4.6. Должностные лица, допущенные к обработке персональных данных работников, в случае их разглашения могут быть уволены по инициативе Работодателя по ст. 81 часть первая пункт 6 «в» Трудового кодекса РФ. То есть разглашение персональных данных Работника, ставших известным должностным лицам в связи с исполнением должностных обязанностей, является грубым нарушением должностных обязанностей.
Доступ
4.1. Внутренний доступ
4.1.1. Право доступа к персональным данным Работника имеют лица, указанные в п. 3.2 данного положения. Другие работники Организации имеют доступ к персональным данным работника только с письменного согласия самого Работника, субъекта данных.
4.1.2. По письменному заявлению работника Работодатель обязан не позднее трех рабочих дней со дня подачи этого заявления выдать работнику копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и представляться работнику безвозмездно.
4.2. Внешний доступ
4.2.1. К числу лиц, допущенных к персональным данным Работника, имеют организации (и соответственно должностные лица данных организаций), осуществляющие контрольные и надзорные функции, а также другие лица, установленные федеральными законами, в частности:
- инспекции труда (инспектора труда правового департамента и департамента охраны труда);
- прокуратура РФ;
- правоохранительные органы;
- налоговые инспекции;
- военкоматы;
- органы, осуществляющие миграционный учет иностранных граждан;
- органы ФСС РФ;
- органы Пенсионного фонда РФ;
- и т. д.
4.2.3. Органы и должностные лица, указанные в п. 4.2.1, имеют доступ к информации только в сфере своей компетенции в порядке, установленном законодательством РФ.
4.2.4. Организации, в которые работник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае письменного разрешения работника.
4.2.5. Другие организации: сведения о работающем Работнике или уже уволенном могут быть предоставлены другой организации только на основании письменного запроса, оформленного на бланке организации, с приложением копии нотариально заверенного заявления Работника, содержащего согласие на передачу указанным лицам его сведений, с полным указанием того, какие сведения могут быть переданы на основании данного согласия.
4.2.6. Родственники и члены семьи Работника: персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Работника. В случае развода и отсутствия соглашения сторон об уплате алиментов справка о заработной плате Работника может быть предоставлена в суд без его согласия на основании письменного запроса и определения суда.