ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «БИОЧАРДЖ»
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации и предусматривает порядок, условия получения, обработки, хранения, передачи и защиты персональных данных работников (далее – «Работник» или «Работники») Общества с ограниченной ответственностью «БИОЧАРДЖ» (далее – «Общество» или «Работодатель»).
1.2. Основой для разработки настоящего Положения послужили Ст.ст. 86-90 Трудового кодекса РФ, Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – «Закон № 152-ФЗ»), ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и пункт 1 Перечня сведений конфиденциального характера, утвержденного Указом Президента РФ от 06.03.97 № 188.
1.3. Обработка персональных данных работников Общества допускается в случаях, предусмотренных п. 5 и п. 11 ч. 1 ст. 6 Закона № 152-ФЗ и не требует специального согласия работников.
1.4. В связи с тем, что обработка персональных данных работников Общества
осуществляется, в соответствии с п. 2 ст. 22 Закона № 152-ФЗ и персональные
данные не распространяются, а также не предоставляются третьим лицам без
согласия работника (форма данного согласия работника включена в Трудовой договор с работником), а используются исключительно в целях исполнения трудового договора уведомление уполномоченного органа по защите прав работников персональных данных не требуется.
1.5. Персональные данные работника являются конфиденциальной информацией.
1.6. Все работники Общества должны быть ознакомлены с настоящим Положением под подпись и обязаны соблюдать его требования. Факт ознакомления работника с настоящим Положением визируется в трудовом договоре при приеме на работу , или путем заключения дополнительного соглашения к трудовому договору в случае изменения, дополнения или утверждения нового Положения.
1.7. Должностные лица, указанные в разделе 4 настоящего положения, имеют доступ к персональным данным работников.
1.8. Настоящее Положение вступает в действие с момента его утверждения и
действует бессрочно до замены его новым утвержденным Положением.
2. Термины и состав персональных данных Работника
2.1 В контексте настоящего Положения применяются следующие термины.
2.1.1. Персональные данные работника – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), далее – работник.
2.1.2. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.3. Предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц.
2.1.4. Распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц.
2.1.5. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.
2.1.6. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.1.7. Общедоступные данные – данные, полученные из общедоступных источников персональных данных, куда с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
2.2. К персональным данным работника относится:
- фамилия, имя, отчество;
-пол, год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности работника;
-биографические данные;
-данные о семейном, социальном и имущественном положении;
-сведения о социальных льготах;
-данные об образовании работника, наличии специальных знаний или подготовки;
-данные о профессии, специальности работника;
-данные о предыдущем месте работы, опыте и занимаемой должности;
-характеристики и рекомендации;
-данные, содержащие материалы по повышению квалификации и переподготовке, аттестации работника;
-информация о служебных расследованиях, судимостей работника;
-сведения о доходах работника;
-данные медицинского характера, в случаях, предусмотренных законодательством;
-результаты медицинских обследований на предмет годности к исполнению трудовой функции;
-данные о членах семьи работника и наличии иждивенцев;
-данные о месте жительства, почтовый адрес, личный телефон работника, а также членов его семьи;
-данные, содержащиеся в трудовой книжке, личном деле, СНИЛС, свидетельстве о постановке на налоговый учет, в документах воинского учета
(при наличии);
-реквизиты полиса ДМС (при наличии);
-биометрические данные работника, фотографии, видео и аудио записи;
-иные персональные данные, при определении содержания которых Общество руководствуется настоящим Положением и законодательством РФ.
2.3. Документы, содержащие персональные данные:
- копии документов, удостоверяющих личность;
- трудовая книжка;
- документы воинского учета;
- личная карточка N Т-2;
- свидетельство о заключении брака, свидетельство о рождении детей;
- справка о доходах с предыдущего места работы;
- документы об образовании;
- документы обязательного пенсионного страхования;
- трудовой договор;
- подлинники и копии приказов по личному составу;
- при необходимости - иные документы, содержащие персональные данные работников (свидетельство о присвоении ИНН; документы о состоянии здоровья; справка, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям и т. п.).
2.4. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества), в связи, с чем Общество обязано не раскрывать третьим лицам и не распространять персональные данные без согласия работника персональных данных, если иное не предусмотрено федеральным законом. Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных федеральными законами.
3. Порядок получения и обработки персональных данных
3.1. Документы, содержащие персональные данные работника, создаются путём:
-копирования оригиналов;
-внесения сведений в учётные формы (на бумажных и электронных носителях);
-получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, личный листок, медицинское заключение и т. п.).
3.2. Получение информации о персональных данных работника:
3.2.1. Источником информации обо всех персональных данных работника в большинстве случаев является непосредственно работник;
3.2.2. Общедоступные персональные данные Работодатель может получить из источников, в которых их разместил работник.
3.2.3. С письменного согласия работника, возможно получение персональных данных работника у третьей стороны. При этом работник должен быть уведомлен о целях, предполагаемых источниках и способах получения персональных данных, а также о характере интересующих Работодателя персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2.4. Информация о состоянии здоровья работника может запрашиваться только в отношении тех сведений, которые необходимы для решения вопроса о возможности выполнения работником трудовой функции.
3.3. Работник обязан предоставлять Работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
3.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых
отношений, в соответствии со статьей 24 Конституции и Трудовым кодексом РФ Работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.6. Работодатель вправе обрабатывать персональные данные работника являющиеся общедоступными, без его согласия.
3.7. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде в соответствии с п. 3 ст. 3 Закона № 152- ФЗ.
3.8. Документы, содержащие персональные данные работников, могут обрабатываться и храниться в:
- аппарате управления;
- бухгалтерии;
- в месте оформления трудоустройства работника.
3.9. Для защиты персональных данных в электронной форме в информационных системах Общества функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений реализуются в соответствии с требованиями законодательства РФ.
3.10. Работник имеет право на получение информации, касающейся обработки его персональных данных, а также на получение копий документов, связанных с работой и их копий, в соответствии со ст. 62 ТК РФ.
3.11. Работник Общества, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:
-обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц;
-в свое отсутствие на рабочем месте не оставляет документов, содержащих персональные данные работников;
-при уходе в отпуск или находясь в служебной командировке/поездке и иных случаях длительного отсутствия на своем рабочем месте, обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое приказом или распоряжением Общества будет возложено исполнение его трудовых обязанностей. В случае, если такое лицо не назначено, то документы и иные носители, содержащие персональные данные работников передаются другому работнику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
-при увольнении из Общества обязан передать документы и иные носители, содержащие персональные данные работников, другому работнику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
4. Обеспечение конфиденциальности персональных
данных Работников
4.1. Внутренний доступ (доступ внутри Общества) к персональным данным работника предоставлен Работникам Общества, которым эти данные необходимы для исполнения своих должностных обязанностей.
4.2. У Работников Общества находятся только личные дела и документы, содержащие персональные данные, необходимые для текущей работы.
4.3. Полный доступ к персональным данным работника имеют:
- генеральный директор;
- главный бухгалтер;
- директор по развитию и работники управления персоналом, в обязанности которых входит работа с персоналом;
4.4. Внутренний ограниченный доступ к персональным данным работника имеют следующие работники в связи с выполнением ими своих трудовых обязанностей:
- работники бухгалтерии в связи с выполнением ими своих трудовых обязанностей;
- юрист и специалисты по документообороту в связи с выполнением ими своих трудовых обязанностей;
4.5. Работники Общества, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций (внутренний ограниченный доступ к ПД).
4.6. В целях выполнения порученного задания доступ к персональным данным
работника может быть предоставлен иному работнику, должность которого не
включена в перечень должностей работников, имеющих доступ к персональным данным работников на основании предоставленного письменного согласия работника на обработку его персональных данных и согласованного распорядительного документа генерального директора.
4.7. Уполномоченные лица имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией. Все остальные работники имеют право на получение полной информации только о своих персональных данных и их обработке.
4.8. Внешний доступ (другие организации и граждане).
Сообщение сведений о персональных данных работников другим организациям и гражданам разрешается при наличии письменного согласия работника и заявления подписанного генеральным директором Общества либо гражданином, запросившим такие сведения.
Предоставление сведений о персональных данных работников без соответствующего их согласия возможно в следующих случаях:
-в целях предупреждения угрозы жизни и здоровью работника:
-при поступлении официальных запросов в соответствии с положениями
Федерального закона «Об оперативно-розыскных мероприятиях»;
-при поступлении официальных запросов из налоговых органов, органов
социального Фонда России, судебных органов, военкомата.
4.9. Работник, о котором запрашиваются сведения, должен быть уведомлен о
передаче его персональных данных третьим лицам, за исключением случаев,
когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а
именно: стихийных бедствий, аварий, катастроф.
4.10. Запрещается передача персональных данных работника в коммерческих
целях без его согласия.
4.11. Не требуется согласие работника на передачу его персональных данных в рамках исполнения требований федерального законодательства, в частности:
- в налоговую инспекцию;
- в Пенсионный фонд России;
- в Фонд социального страхования России;
- в военкомат
- в иные органы государственной власти, имеющие полномочия запрашивать
персональные данные в пределах полномочий, предоставленных им
законодательством.
4.12. Согласие работника на получение персональных данных от третьих лиц
или на передачу их третьим лицам оформляется в соответствии с требованиями п. 4 ст. 9 Закона № 152-ФЗ.
4.13. Письменное согласие работника на передачу персональных данных третьим лицам является неотъемлемой частью трудового договора.
4.14. Письменное согласие работника на передачу Обществом персональных
данных третьим лицам должно включать в себя:
- фамилию, имя, отчество работника;
- наименование Общества;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие работника персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие;
- общее описание используемых Обществом способов обработки персональных данных;
- срок, в течение которого действует согласие работника персональных данных;
- также способ отзыва согласия;
- личную подпись работника персональных данных.
4.15. В случае, если Работодателю оказывают услуги юридические и физические лица, на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Работников Общества, то соответствующие данные предоставляются Работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации и получения согласия субъекта персональных данных. В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника, при наличии соответствующих пунктов и признании случая исключительным, персональные данные могут быть предоставлены стороне по такому договору.
4.16. Ответственность за соблюдение вышеуказанного порядка представления
персональных данных работника несет работник Общества, а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.
5. Хранение персональных данных Работников
5.1. Хранение персональных данных работников осуществляется следующим
образом:
5.1.1. Персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем , менеджера по персоналу, начальника отдела кадров.
5.1.2. Персональные данные, включённые в состав личных дел, хранятся в
запираемом шкафу, установленном на рабочем месте, менеджера по персоналу, начальника отдела кадров.
5.2. Трудовые книжки, документы воинского учёта, карточки формы Т-2 хранятся в запертом металлическом сейфе.
5.3. Доступ к электронным и бумажным носителям, содержащим персональные данные, строго ограничен кругом лиц, определённых в пункте 4.1, 4.3. настоящего Положения.
5.4. При работе с документами, содержащими персональные данные, запрещается:
- хранить документы на открытых стеллажах, оставлять без присмотра;
- брать документы для работы и на хранение домой;
- выносить документы из подразделения без разрешения руководителя соответствующего подразделения;
- передавать документы на хранение лицам, не имеющим права доступа к данным документам.
5.5. При обработке персональных данных должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено
их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- контроль за обеспечением уровня защищенности персональных данных.
5.6. Работа с персональными данными работников должностными лицами, не
включенными в разрешительные документы, не допускается.
5.7. Обмен персональными данными при их обработке осуществляется по каналам коммуникации, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и
технических средств.
6. Защита персональных данных Работника
6.1. При передаче персональных данных работников с соблюдением условий,
предусмотренных разделом 4 настоящего Положения, уполномоченные должностные лица обязаны предупредить лиц, которым передаются сведения,
об ответственности в соответствии с законодательством Российской Федерации.
6.2. В целях обеспечения защиты персональных данных, хранящихся в личных
делах, работники имеют право:
-получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
-осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
-требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Работник при отказе уполномоченного должностного лица исключить или исправить указанные персональные данные имеет право
заявлять в письменной форме Генеральному директору о своём несогласии, обосновав соответствующим образом такое несогласие. Персональные данные
оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
-требовать от должностных лиц, имеющих доступ к персональным данным, уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них изменениях
или исключениях из них;
-обжаловать в суд неправомерные действия или бездействия Работодателя при
обработке и защите его персональных данных.
6.3. Запрещается передавать информацию о состоянии здоровья работника, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.4. Не допускается отвечать по телефону или факсу на вопросы, связанные с
передачей конфиденциальной информации.
6.5. Ответы на письменные запросы организаций и учреждений, адвокатов в пределах их компетенции и предоставленных полномочий (в случаях, предусмотренных действующим законодательством Российской Федерации) даются в письменной форме на фирменном бланке и в том объеме, который позволяет не разглашать излишний объем персональных данных.
6.6. При передаче персональных данных работников третьим лицам, в том числе представителям работников, в порядке, установленном действующим законодательством Российской Федерации и настоящим Положением, ограничивать эту информацию только теми персональными данными работников, которые необходимы для выполнения третьими лицами их функций.
6.7. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается лицами, имеющими доступ к персональным данным.
6.8. Защите подлежат:
-информация о персональных данных работника;
-документы, содержащие персональные данные работника;
-персональные данные, содержащиеся на электронных носителях.
6.9. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается за счёт средств Работодателя в порядке, установленном федеральным законом.
7. Ответственность за разглашение конфиденциальной
информации, связанной с персональными данными
Работника.
7.1. Должностные лица, виновные в нарушении порядка, регулирующего получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:
-замечание;
-выговор;
-увольнение.
В соответствии с действующим законодательством РФ вышеуказанные должностные лица могут быть привлечены к административной или уголовной ответственности.
7.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
7.3. Копия приказа о применении к должностному лицу дисциплинарного взыскания с указанием оснований его применения вручается последнему под расписку в течение пяти дней со дня издания приказа.
7.4. Если в течение года со дня применения дисциплинарного взыскания должностное лицо не будет подвергнуто новому дисциплинарному взысканию, то оно считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его по собственной инициативе, по письменному заявлению должностного лица или по ходатайству его непосредственного руководителя.
7.5. Генеральный директор Общества за нарушение порядка обращения с персональными данными несет в соответствии с законодательством Российской Федерации.
1.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации и предусматривает порядок, условия получения, обработки, хранения, передачи и защиты персональных данных работников (далее – «Работник» или «Работники») Общества с ограниченной ответственностью «БИОЧАРДЖ» (далее – «Общество» или «Работодатель»).
1.2. Основой для разработки настоящего Положения послужили Ст.ст. 86-90 Трудового кодекса РФ, Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – «Закон № 152-ФЗ»), ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и пункт 1 Перечня сведений конфиденциального характера, утвержденного Указом Президента РФ от 06.03.97 № 188.
1.3. Обработка персональных данных работников Общества допускается в случаях, предусмотренных п. 5 и п. 11 ч. 1 ст. 6 Закона № 152-ФЗ и не требует специального согласия работников.
1.4. В связи с тем, что обработка персональных данных работников Общества
осуществляется, в соответствии с п. 2 ст. 22 Закона № 152-ФЗ и персональные
данные не распространяются, а также не предоставляются третьим лицам без
согласия работника (форма данного согласия работника включена в Трудовой договор с работником), а используются исключительно в целях исполнения трудового договора уведомление уполномоченного органа по защите прав работников персональных данных не требуется.
1.5. Персональные данные работника являются конфиденциальной информацией.
1.6. Все работники Общества должны быть ознакомлены с настоящим Положением под подпись и обязаны соблюдать его требования. Факт ознакомления работника с настоящим Положением визируется в трудовом договоре при приеме на работу , или путем заключения дополнительного соглашения к трудовому договору в случае изменения, дополнения или утверждения нового Положения.
1.7. Должностные лица, указанные в разделе 4 настоящего положения, имеют доступ к персональным данным работников.
1.8. Настоящее Положение вступает в действие с момента его утверждения и
действует бессрочно до замены его новым утвержденным Положением.
2. Термины и состав персональных данных Работника
2.1 В контексте настоящего Положения применяются следующие термины.
2.1.1. Персональные данные работника – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), далее – работник.
2.1.2. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.3. Предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц.
2.1.4. Распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц.
2.1.5. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.
2.1.6. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.1.7. Общедоступные данные – данные, полученные из общедоступных источников персональных данных, куда с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
2.2. К персональным данным работника относится:
- фамилия, имя, отчество;
-пол, год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности работника;
-биографические данные;
-данные о семейном, социальном и имущественном положении;
-сведения о социальных льготах;
-данные об образовании работника, наличии специальных знаний или подготовки;
-данные о профессии, специальности работника;
-данные о предыдущем месте работы, опыте и занимаемой должности;
-характеристики и рекомендации;
-данные, содержащие материалы по повышению квалификации и переподготовке, аттестации работника;
-информация о служебных расследованиях, судимостей работника;
-сведения о доходах работника;
-данные медицинского характера, в случаях, предусмотренных законодательством;
-результаты медицинских обследований на предмет годности к исполнению трудовой функции;
-данные о членах семьи работника и наличии иждивенцев;
-данные о месте жительства, почтовый адрес, личный телефон работника, а также членов его семьи;
-данные, содержащиеся в трудовой книжке, личном деле, СНИЛС, свидетельстве о постановке на налоговый учет, в документах воинского учета
(при наличии);
-реквизиты полиса ДМС (при наличии);
-биометрические данные работника, фотографии, видео и аудио записи;
-иные персональные данные, при определении содержания которых Общество руководствуется настоящим Положением и законодательством РФ.
2.3. Документы, содержащие персональные данные:
- копии документов, удостоверяющих личность;
- трудовая книжка;
- документы воинского учета;
- личная карточка N Т-2;
- свидетельство о заключении брака, свидетельство о рождении детей;
- справка о доходах с предыдущего места работы;
- документы об образовании;
- документы обязательного пенсионного страхования;
- трудовой договор;
- подлинники и копии приказов по личному составу;
- при необходимости - иные документы, содержащие персональные данные работников (свидетельство о присвоении ИНН; документы о состоянии здоровья; справка, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям и т. п.).
2.4. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества), в связи, с чем Общество обязано не раскрывать третьим лицам и не распространять персональные данные без согласия работника персональных данных, если иное не предусмотрено федеральным законом. Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных федеральными законами.
3. Порядок получения и обработки персональных данных
3.1. Документы, содержащие персональные данные работника, создаются путём:
-копирования оригиналов;
-внесения сведений в учётные формы (на бумажных и электронных носителях);
-получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, личный листок, медицинское заключение и т. п.).
3.2. Получение информации о персональных данных работника:
3.2.1. Источником информации обо всех персональных данных работника в большинстве случаев является непосредственно работник;
3.2.2. Общедоступные персональные данные Работодатель может получить из источников, в которых их разместил работник.
3.2.3. С письменного согласия работника, возможно получение персональных данных работника у третьей стороны. При этом работник должен быть уведомлен о целях, предполагаемых источниках и способах получения персональных данных, а также о характере интересующих Работодателя персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2.4. Информация о состоянии здоровья работника может запрашиваться только в отношении тех сведений, которые необходимы для решения вопроса о возможности выполнения работником трудовой функции.
3.3. Работник обязан предоставлять Работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
3.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых
отношений, в соответствии со статьей 24 Конституции и Трудовым кодексом РФ Работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.6. Работодатель вправе обрабатывать персональные данные работника являющиеся общедоступными, без его согласия.
3.7. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде в соответствии с п. 3 ст. 3 Закона № 152- ФЗ.
3.8. Документы, содержащие персональные данные работников, могут обрабатываться и храниться в:
- аппарате управления;
- бухгалтерии;
- в месте оформления трудоустройства работника.
3.9. Для защиты персональных данных в электронной форме в информационных системах Общества функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений реализуются в соответствии с требованиями законодательства РФ.
3.10. Работник имеет право на получение информации, касающейся обработки его персональных данных, а также на получение копий документов, связанных с работой и их копий, в соответствии со ст. 62 ТК РФ.
3.11. Работник Общества, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:
-обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц;
-в свое отсутствие на рабочем месте не оставляет документов, содержащих персональные данные работников;
-при уходе в отпуск или находясь в служебной командировке/поездке и иных случаях длительного отсутствия на своем рабочем месте, обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое приказом или распоряжением Общества будет возложено исполнение его трудовых обязанностей. В случае, если такое лицо не назначено, то документы и иные носители, содержащие персональные данные работников передаются другому работнику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
-при увольнении из Общества обязан передать документы и иные носители, содержащие персональные данные работников, другому работнику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
4. Обеспечение конфиденциальности персональных
данных Работников
4.1. Внутренний доступ (доступ внутри Общества) к персональным данным работника предоставлен Работникам Общества, которым эти данные необходимы для исполнения своих должностных обязанностей.
4.2. У Работников Общества находятся только личные дела и документы, содержащие персональные данные, необходимые для текущей работы.
4.3. Полный доступ к персональным данным работника имеют:
- генеральный директор;
- главный бухгалтер;
- директор по развитию и работники управления персоналом, в обязанности которых входит работа с персоналом;
4.4. Внутренний ограниченный доступ к персональным данным работника имеют следующие работники в связи с выполнением ими своих трудовых обязанностей:
- работники бухгалтерии в связи с выполнением ими своих трудовых обязанностей;
- юрист и специалисты по документообороту в связи с выполнением ими своих трудовых обязанностей;
4.5. Работники Общества, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций (внутренний ограниченный доступ к ПД).
4.6. В целях выполнения порученного задания доступ к персональным данным
работника может быть предоставлен иному работнику, должность которого не
включена в перечень должностей работников, имеющих доступ к персональным данным работников на основании предоставленного письменного согласия работника на обработку его персональных данных и согласованного распорядительного документа генерального директора.
4.7. Уполномоченные лица имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией. Все остальные работники имеют право на получение полной информации только о своих персональных данных и их обработке.
4.8. Внешний доступ (другие организации и граждане).
Сообщение сведений о персональных данных работников другим организациям и гражданам разрешается при наличии письменного согласия работника и заявления подписанного генеральным директором Общества либо гражданином, запросившим такие сведения.
Предоставление сведений о персональных данных работников без соответствующего их согласия возможно в следующих случаях:
-в целях предупреждения угрозы жизни и здоровью работника:
-при поступлении официальных запросов в соответствии с положениями
Федерального закона «Об оперативно-розыскных мероприятиях»;
-при поступлении официальных запросов из налоговых органов, органов
социального Фонда России, судебных органов, военкомата.
4.9. Работник, о котором запрашиваются сведения, должен быть уведомлен о
передаче его персональных данных третьим лицам, за исключением случаев,
когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а
именно: стихийных бедствий, аварий, катастроф.
4.10. Запрещается передача персональных данных работника в коммерческих
целях без его согласия.
4.11. Не требуется согласие работника на передачу его персональных данных в рамках исполнения требований федерального законодательства, в частности:
- в налоговую инспекцию;
- в Пенсионный фонд России;
- в Фонд социального страхования России;
- в военкомат
- в иные органы государственной власти, имеющие полномочия запрашивать
персональные данные в пределах полномочий, предоставленных им
законодательством.
4.12. Согласие работника на получение персональных данных от третьих лиц
или на передачу их третьим лицам оформляется в соответствии с требованиями п. 4 ст. 9 Закона № 152-ФЗ.
4.13. Письменное согласие работника на передачу персональных данных третьим лицам является неотъемлемой частью трудового договора.
4.14. Письменное согласие работника на передачу Обществом персональных
данных третьим лицам должно включать в себя:
- фамилию, имя, отчество работника;
- наименование Общества;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие работника персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие;
- общее описание используемых Обществом способов обработки персональных данных;
- срок, в течение которого действует согласие работника персональных данных;
- также способ отзыва согласия;
- личную подпись работника персональных данных.
4.15. В случае, если Работодателю оказывают услуги юридические и физические лица, на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Работников Общества, то соответствующие данные предоставляются Работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации и получения согласия субъекта персональных данных. В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника, при наличии соответствующих пунктов и признании случая исключительным, персональные данные могут быть предоставлены стороне по такому договору.
4.16. Ответственность за соблюдение вышеуказанного порядка представления
персональных данных работника несет работник Общества, а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.
5. Хранение персональных данных Работников
5.1. Хранение персональных данных работников осуществляется следующим
образом:
5.1.1. Персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем , менеджера по персоналу, начальника отдела кадров.
5.1.2. Персональные данные, включённые в состав личных дел, хранятся в
запираемом шкафу, установленном на рабочем месте, менеджера по персоналу, начальника отдела кадров.
5.2. Трудовые книжки, документы воинского учёта, карточки формы Т-2 хранятся в запертом металлическом сейфе.
5.3. Доступ к электронным и бумажным носителям, содержащим персональные данные, строго ограничен кругом лиц, определённых в пункте 4.1, 4.3. настоящего Положения.
5.4. При работе с документами, содержащими персональные данные, запрещается:
- хранить документы на открытых стеллажах, оставлять без присмотра;
- брать документы для работы и на хранение домой;
- выносить документы из подразделения без разрешения руководителя соответствующего подразделения;
- передавать документы на хранение лицам, не имеющим права доступа к данным документам.
5.5. При обработке персональных данных должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено
их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- контроль за обеспечением уровня защищенности персональных данных.
5.6. Работа с персональными данными работников должностными лицами, не
включенными в разрешительные документы, не допускается.
5.7. Обмен персональными данными при их обработке осуществляется по каналам коммуникации, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и
технических средств.
6. Защита персональных данных Работника
6.1. При передаче персональных данных работников с соблюдением условий,
предусмотренных разделом 4 настоящего Положения, уполномоченные должностные лица обязаны предупредить лиц, которым передаются сведения,
об ответственности в соответствии с законодательством Российской Федерации.
6.2. В целях обеспечения защиты персональных данных, хранящихся в личных
делах, работники имеют право:
-получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
-осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
-требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Работник при отказе уполномоченного должностного лица исключить или исправить указанные персональные данные имеет право
заявлять в письменной форме Генеральному директору о своём несогласии, обосновав соответствующим образом такое несогласие. Персональные данные
оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
-требовать от должностных лиц, имеющих доступ к персональным данным, уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них изменениях
или исключениях из них;
-обжаловать в суд неправомерные действия или бездействия Работодателя при
обработке и защите его персональных данных.
6.3. Запрещается передавать информацию о состоянии здоровья работника, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.4. Не допускается отвечать по телефону или факсу на вопросы, связанные с
передачей конфиденциальной информации.
6.5. Ответы на письменные запросы организаций и учреждений, адвокатов в пределах их компетенции и предоставленных полномочий (в случаях, предусмотренных действующим законодательством Российской Федерации) даются в письменной форме на фирменном бланке и в том объеме, который позволяет не разглашать излишний объем персональных данных.
6.6. При передаче персональных данных работников третьим лицам, в том числе представителям работников, в порядке, установленном действующим законодательством Российской Федерации и настоящим Положением, ограничивать эту информацию только теми персональными данными работников, которые необходимы для выполнения третьими лицами их функций.
6.7. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается лицами, имеющими доступ к персональным данным.
6.8. Защите подлежат:
-информация о персональных данных работника;
-документы, содержащие персональные данные работника;
-персональные данные, содержащиеся на электронных носителях.
6.9. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается за счёт средств Работодателя в порядке, установленном федеральным законом.
7. Ответственность за разглашение конфиденциальной
информации, связанной с персональными данными
Работника.
7.1. Должностные лица, виновные в нарушении порядка, регулирующего получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:
-замечание;
-выговор;
-увольнение.
В соответствии с действующим законодательством РФ вышеуказанные должностные лица могут быть привлечены к административной или уголовной ответственности.
7.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
7.3. Копия приказа о применении к должностному лицу дисциплинарного взыскания с указанием оснований его применения вручается последнему под расписку в течение пяти дней со дня издания приказа.
7.4. Если в течение года со дня применения дисциплинарного взыскания должностное лицо не будет подвергнуто новому дисциплинарному взысканию, то оно считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его по собственной инициативе, по письменному заявлению должностного лица или по ходатайству его непосредственного руководителя.
7.5. Генеральный директор Общества за нарушение порядка обращения с персональными данными несет в соответствии с законодательством Российской Федерации.