Положение о защите персональных данных работников
ГБУ «ЦСОГПВИИ г.о.г. Арзамас»
1. Общие положения
1.1. Настоящее Положение Государственного бюджетного учреждения «Центр социального обслуживания граждан пожилого возраста и инвалидов городского округа город Арзамас» (далее - Учреждение) разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", в частности, гл. 14 Трудового кодекса РФ, другими действующими нормативными правовыми актами Российской Федерации (далее - Положение).
1.2. Цель Положения - защита персональных данных работников Учреждения от несанкционированного доступа и разглашения. В рамках настоящего Положения под работниками подразумеваются соискатели, работники, бывшие работники, а также иные лица, персональные данные которых работодатель обязан обрабатывать в соответствии с действующим законодательством Российской Федерации. Персональные данные работников всегда являются конфиденциальной, строго охраняемой информацией, в соответствии с действующим законодательством Российской Федерации.
1.3. Положение устанавливает порядок получения, учета, обработки, накопления и хранения информации, содержащей сведения, отнесенные к персональным данным работников Учреждения.
1.4. Положение и изменения к нему утверждаются приказом директора Учреждения. Все работники Учреждения должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
2. Понятие и состав персональных данных
2.1. Персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Состав персональных данных работника: (Приложение№1).
Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.
2.3. Документы, содержащие персональные данные, являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случае обезличивания персональных данных.
3. Обязанности работодателя
3.1. Все персональные данные работника работодатель обязан получать лично у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2. Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.
3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
3.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.5. Работодатель обязан обеспечить защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств в порядке, установленном Трудовым кодексом Российской Федерации или иными федеральными законами.
3.6. Работодатель обязан исполнять иные обязанности, предусмотренные Трудовым кодексом Российской Федерации или иными федеральными законами.
4. Обязанности работника
Работник обязан:
4.1. Передавать работодателю или его представителю достоверные документированные персональные данные, необходимые для целей обработки персональных данных в соответствии с настоящим Положением.
4.2. Своевременно, в срок, не превышающий 10 (десяти) рабочих дней, сообщать работодателю об изменении своих персональных данных.
5. Права работника
Работник имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.3. На доступ к медицинской документации, отражающей состояние его здоровья.
5.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работника имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
5.7. Определять своих представителей для защиты своих персональных данных.
5.8. Требовать прекратить в любое время передачу (распространение, предоставление, доступ) персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
6. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных. Способы и сроки их обработки и хранения
6.1. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника.
6.2. Цели обработки персональных данных:
- обеспечение соблюдения законов и иных нормативных правовых актов;
- содействие работникам в трудоустройстве, получении образования и продвижении по службе;
- обеспечение личной безопасности работников;
- контроль количества и качества выполняемой работы;
- обеспечение сохранности имущества.
6.3. При поступлении на работу работник заполняет анкету и автобиографию.
6.3.1. Анкета представляет собой перечень вопросов о персональных данных работника.
6.3.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
6.3.3. Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.
6.3.4. Автобиография составляется в произвольной форме, без помарок и исправлений.
6.3.5. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
6.3.6. Личное дело работника оформляется после издания приказа о приеме на работу.
6.3.7. Все документы личного дела подшиваются в обложку образца, установленного в Учреждении. На ней указываются фамилия, имя, отчество работника, номер личного дела.
6.3.8. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
6.3.9. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
6.4. Обработка персональных данных работников работодателем возможна только с их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Письменное согласие работника на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных и предоставляется работником работодателю лично. Работодатель обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления работодателю требования, указанного в п. 5.8 настоящего Положения.
6.5. Учреждение обрабатывает персональные данные с использованием средств автоматизации. При обработке персональных данных работодатель обязан соблюдать принципы, ограничения и требования, установленные законодательством Российской Федерации.
6.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6.7. Персональные данные работников хранятся на бумажных носителях и в электронном виде.
6.8. Срок хранения документов, содержащих персональные данные работников, определяется приказом директором Учреждения.
После истечения срока хранения документы подлежат передачи в архив.
7. Передача персональных данных
7.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных Трудовым кодексом Российской Федерации или иными федеральными законами;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;
- осуществлять передачу персональных данных работника в пределах Учреждения в соответствии с настоящим Положением, с которым работник должен быть ознакомлен под подпись;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
8. Доступ к персональным данным работника
8.1. Внутренний доступ (доступ внутри Учреждения).
Право доступа к персональным данным работника имеют:
- директор Учреждения;
- инспектор и специалист отдела кадров;
- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения) по согласованию с директором Учреждения;
- при переводе из одного структурного подразделения в другое доступ к персональным данным работника может иметь заведующий нового подразделения по согласованию с директором Учреждения;
- работники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;
- юрисконсульт - к тем данным, которые необходимы для выполнения конкретных функций;
- программист - к тем данным, которые необходимы для выполнения конкретных функций;
- сам работник, носитель данных.
8.2. Внешний доступ.
Не требуется согласие работника на передачу персональных данных:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Фонд пенсионного и социального страхования Российской Федерации в объеме, предусмотренном действующим законодательством Российской Федерации;
- в налоговые органы;
- в военные комиссариаты;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей;
- в кредитную организацию, обслуживающую платежные карты работников;
- в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
8.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
8.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
9. Защита персональных данных работников
9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации выполняются только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Учреждения в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках Учреждения.
9.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
9.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9.5. Персональные компьютеры, в которых содержатся персональные данные, все защищены паролями доступа.
10. Уничтожение документов, содержащих персональные данные работников
10.1. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, а также по истечении срока, предусмотренного п. 6.9.
10.2. Уничтожение персональных данных производится в соответствии с Положением «О порядке уничтожения персональных данных» в Учреждении.
10.3. Документом, подтверждающим уничтожение персональных данных работников, является акт об уничтожении персональных данных, в случае если обработка персональных данных осуществляется с использованием средств автоматизации: и выгрузка из журнала регистрации событий в информационной системе персональных данных.
11. Ответственность за нарушение норм, регулирующих обработку персональных данных работника
11.1. Предоставление работником работодателю подложных документов при заключении трудового договора является основанием для его расторжения.
11.2. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.