Работа с персональными данными
ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Екатеринбург
2018
1. Общие положения
1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано в соответствии с законодательством Российской Федерации в сфере защиты информации и Трудовым кодексом Российской Федерации, а также Федерального закона «Об информации, информатизации и защите информации».
1.3. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников Центра.
1.4. Настоящее Положение утверждается и вводится в действие приказом директора учреждения и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным работников.
2. Понятие и состав персональных данных
2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
К персональным данным работника относятся:
- анкетные и биографические данные;
- данные об образовании работника, наличии специальных знаний или их подготовки;
- данные о профессии, специальности работника;
- сведения о доходах работника;
- данные о семейном и социальном положении, документы о возрасте и состоянии здоровья детей и других близких родственников (например, справки об инвалидности), когда с наличием таких документов связано предоставление работнику каких-либо гарантий и компенсаций;
- данные о месте жительства, почтовый адрес, телефон работника, а также членов его семьи;
- данные, содержащиеся в трудовой книжке работника и его личном деле, страховом свидетельстве государственного пенсионного страхования, свидетельстве о постановке не налоговый учет;
- данные, содержащиеся в документах воинского учета (при их наличии);
- документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством Российской Федерации (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и т.д.);
- содержание трудового договора;
- подлинники и копии приказов по личному составу;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики.
2.2. Перечисленные выше сведения являются конфиденциальными и не подлежат разглашению иначе как по основаниям, предусмотренным законодательством Российской Федерации.
3. Обработка персональных данных работника
3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
3.2.1. Сбор и обработка персональных данных работника может осуществляться исключительно для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством Российской Федерации и локальными актами работодателя.
3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
3.2.3. Персональные данные предоставляются непосредственно самим работником, при этом от него должно быть получено письменное согласие на их дальнейшую обработку по установленной форме (Приложение № 1).
3.2.4. Если персональные данные работника возможно получить только у третьей стороны, то работник уведомляется работодателем об этом заранее и от него должно быть получено письменное согласие (Приложение № 2). Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2.5. Работник обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Работодатель имеет право проверять достоверность сведений, предоставленных работником, сверяя данные с имеющимися у работника документами.
3.2.6. Персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни, а также членства в общественных и профсоюзных организациях не подлежат сбору работодателем, если иное не предусмотрено законодательством.
3.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.4. Работники должны быть ознакомлены под расписку с настоящим Положением, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.5. Работники не должны отказываться от своих прав на сохранение и защиту персональных данных.
3.6. Персональные данные работника хранятся в отделе кадров в личной карточке и личном деле работника. Личные дела хранятся в бумажном виде в папках и находятся в сейфе или в несгораемом шкафу. Личное дело после прекращения трудовых отношений с работником передается в архив и хранится установленные законодательством сроки.
4. Доступ к персональным данным работника
4.1. Доступ к персональным данным работника без специального разрешения имеют:
4.1.1. Внутренний доступ – работники института, которым они необходимы для выполнения своих трудовых обязанностей, согласно перечню должностей (Приложение № 3).
4.1.2. Внешний доступ (государственные структуры) – персональные данные работников могут предоставляться только по запросу компетентных органов, имеющих соответствующие полномочия:
- федеральная налоговая служба;
- правоохранительные органы;
- органы статистики;
- бюро кредитных историй;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
4.2. Процедура оформления доступа к персональным данным сотрудника работодателя, отвечающего за сбор, обработку и хранение персональных данных работников института, включает в себя:
- ознакомление работника под роспись с настоящим Положением и иными нормативными актами, регулирующими работу с персональными данными;
- истребование с сотрудника письменного обязательства, подготовленного по установленной форме (Приложение № 4) о соблюдении конфиденциальности персональных данных работников организации и соблюдении правил их обработки.
4.3. Сотрудник работодателя, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей должен:
- обеспечивать хранение информации, содержащей персональные данные работника, исключая доступ к ним третьих лиц;
- в случаях длительного отсутствия (отпуск, болезнь, командировка и пр.) работник обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которого приказом директора будет возложено исполнение его трудовых обязанностей;
- при увольнении сотрудника документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию директора института.
4.4. Работник имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей его персональные данные, а также вносить изменения в свои данные в случае обнаружения в них неточностей.
5. Передача персональных данных работника
5.1. Сведения о работнике предоставляются в другие организации (третьим лицам), а также родственникам и членам его семьи только с письменного разрешения самого работника, которое оформляется по установленной форме (Приложение № 5).
Примечание: Согласия работника на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника; когда третьи лица оказывают услуги работодателю на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
5.2. При осуществлении передачи персональных данных работников третьим лицам работодатель обязан:
- не сообщать персональные данные без полученного письменного согласия работника;
- не передавать персональные данные работника для использования их в коммерческих целях;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.3. Передача информации происходит только по запросу в письменном виде с указанием всех реквизитов лица, запрашивающего информацию. Передача персональных данных может допускаться в минимальных объемах и только в целях выполнения задач, соответствующей объективной причине сбора этих данных.
6. Защита персональных данных работников
6.1. Защита персональных данных представляет собой процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой деятельности учреждения.
6.2. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленным федеральным законом.
6.3. Для обеспечения «внутренней» защиты персональных данных работников необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно-методических документов по защите информации и сохранении тайны;
- определение и регламентация состава работников, имеющих право доступа к персональным данным работников;
- организации порядка уничтожения информации;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
6.4. В рамках реализации пунктов настоящего Положения о защите персональных данных работников руководитель организации издает приказ о назначении лица, ответственного за соблюдение порядка работы с персональными данными, на котором лежат все обязанности по обеспечению конфиденциальности полученных данных, а также организации работы с ними.
6.3. Все полученные персональные данные должны храниться в месте, исключающем несанкционированный доступ третьих лиц.
6.4. Электронные носители информации должны быть защищены критографическими средствами защиты информации.
6.5. Для «внешней» защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающего совершить несанкционированный доступ и овладение информацией. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности организации, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов.
6.6. Для обеспечения «внешней» защиты необходимо:
- соблюдать порядок приёма и учёта посетителей;
- пропускной режим организации;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
6.7. При возможности персональные данные обезличиваются.
7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
7.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечение эффективности этой системы.
7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие её, за нарушение режима защиты, обработки и порядка использования этой информации несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.3. Разглашение персональных данных работника организации (передача их посторонним лицам, в том числе, работникам, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные работника, а также иные нарушения обязанностей по их защите и обработке, установленной настоящим Положением, локальными нормативными актами (приказами, распоряжениями), влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания, предусмотренного Трудовым кодексом.
7.5. Должностные лица, в обязанность которых входит ведение персональных данных работника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных нарушениях.
7.6. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.